Специалисты Group-IB выявили масштабную SMS-фишинговую операцию Error524, охватившую 72 страны. Мошенники выдавали себя за известные компании и перенаправляли пользователей на поддельные сайты для кражи персональных и банковских данных.
Эксперты Group-IB раскрыли крупную международную smishing-операцию под названием Error524, направленную на пользователей в десятках стран мира.
Smishing — это разновидность фишинга, при которой злоумышленники используют SMS-сообщения для перенаправления жертв на поддельные сайты и последующей кражи личных данных или денежных средств.
По данным исследователей, мошенники рассылали сообщения от имени известных брендов, банков, операторов связи, служб доставки и программ лояльности. В SMS пользователям предлагали:
- получить бонус;
- подтвердить доставку;
- использовать накопленные баллы до окончания срока действия;
- пройти проверку данных.
После перехода по ссылке человек попадал на фальшивый сайт, внешне похожий на официальный ресурс компании.
Особенностью схемы стало использование системы фильтрации посетителей. Фишинговая страница открывалась не для всех пользователей. Если сайт посещали специалисты по кибербезопасности, пользователи из неподходящих стран или с неподходящих устройств, отображалась поддельная ошибка Cloudflare — чаще всего Error 524. Благодаря этому мошенники скрывали свои ресурсы от обнаружения.
На фишинговом сайте жертву сначала просили указать национальный идентификационный номер, после чего показывали якобы персональное предложение от имени известного бренда.
Затем пользователю предлагалось ввести:
- ФИО;
- адрес проживания;
- адрес электронной почты;
- номер телефона;
- данные банковской карты;
- срок действия карты;
- CVV-код.
По данным Group-IB, инфраструктура кампании охватывала:
- 72 страны;
- 260 брендов;
- 4 389 фишинговых доменов.
Исследователи отмечают, что злоумышленники продолжают использовать подобные схемы социальной инженерии, маскируя мошеннические ресурсы под сайты известных компаний и сервисов.
SecurityLab по материалам исследования Group-IB.