Хакеры создали целую индустрию мошенничества «под ключ» в Telegram.
ИБ-специалисты Resecurity предупредили о масштабной кампании смишинга, нацеленную на американских клиентов служб доставки. Кампанию проводит группировка «Smishing Triad».
Smishing Triad — это новая киберпреступная группировка, говорящая на китайском языке. Хакеры специализируются на смишинг-атаках, направленных на сбор личной и финансовой информации жертв. Группа в основном использует iMessage для отправки мошеннических сообщений, имитируя различные почтовые и финансовые службы. Жертвами группы стали граждане США, Великобритании, Польши, Швеции, Италии, Индонезии, Японии и других стран. Группа использует домены, зарегистрированные в различных зонах, включая .top, .com, .me, .shop, .site и .cc.
Smishing Triad также предлагает другим киберпреступникам специализированные наборы для смишинга, которые продаются через группы в Telegram. Подписки на наборы начинаются от $200 в месяц с дополнительной поддержкой клиентов на более высоких тарифных планах.
Группа Smishing Triad обычно использует iMessage для рассылок мошеннических сообщений по отслеживанию посылок и крадет личную персональную информацию жертв (Personally Identifiable Information, PII) и финансовые данные (например, данные платежной карты или банковские реквизиты) для мошенничества с кредитными картами и кражи личных данных.
В обнаруженной кампании Smishing Triad немного изменила свою стратегию и использует сообщения из скомпрометированных учетных записей Apple iCloud для обмана пользователей. Также выяснилось, что набор инструментов для смишинга Smishing Triad продается в группах Telegram, создавая обширную и хорошо организованную сеть мошенничества.
https://www.securitylab.ru/upload/me...x70l90m7i2.png
В Telegram-канале Smishing Triad продаются смишинг-комплекты
Группа по анализу угроз Resecurity получила доступ к одному из таких комплектов и провела реверс-инжиниринг. Команда обнаружила уязвимость SQL-инъекции, с помощью которой хакеры могли получить конфиденциальные данные более 108 000 пользователей, и предупредила потенциальных жертв о вероятности кражи личных данных.
В текущей кампании в качестве целей выбраны граждане США. Мошенники подделывают сообщения от ведущих служб доставки, таких как:<ul><li>USPS (США);</li>
</ul><ul><li>Correos (Испания);</li>
</ul><ul><li>New Zealand Post (Новая Зеландия);</li>
</ul><ul><li>Royal Mail (Великобритания);</li>
</ul><ul><li>Postnord (Швеция);</li>
</ul><ul><li>Poczta Polska (Польша);</li>
</ul><ul><li>J&amp;T Express (Индонезия);</li>
</ul><ul><li>Poste Italiane и итальянская налоговая служба (Agenzia delle Entrate).</li>
</ul>Жертва получает сообщение с просьбой предоставить дополнительную информацию или оплатить доставку через кредитную карту. После получения нужных данных злоумышленники могут совершать финансовые мошенничества.