18/08/25
Если ранее они концентрировались на переводе украденных карт в цифровые кошельки и их последующей продаже для мошеннических операций, то теперь внимание сместилось на брокерские сервисы.
Исследователи из SecAlliance фиксируют рост так называемых схем «ramp and dump», когда захваченные аккаунты инвесторов используются для разгона стоимости акций и последующей продажи по завышенной цене, пишет Securitylab. Механика этих атак во многом повторяет традиционные манипуляции «pump and dump», но без необходимости создавать ажиотаж в социальных сетях.
Сценарий прост: преступники заранее скупают бумаги выбранной компании, а затем через множество захваченных аккаунтов брокеров резко увеличивают объём торгов. Это толкает цену вверх, и в нужный момент они избавляются от активов, фиксируя прибыль. Владельцы взломанных учётных записей, тем временем, остаются с обесцененными акциями, а брокерские платформы вынуждены разбираться с ущербом и недовольством клиентов. В феврале 2025 года ФБР уже объявляло о поиске пострадавших от таких махинаций.
По данным SecAlliance, значительная часть инфраструктуры атаки формируется в китайскоязычном сегменте Telegram, где открыто продаются готовые комплекты для мобильного фишинга. Эти наборы позволяют подделывать SMS и сообщения в iMessage или RCS, имитируя уведомления известных брокеров. Жертв убеждают в том, что их аккаунт заморожен из-за подозрительной активности, и просят срочно подтвердить данные, перейдя по ссылке. Попав на фальшивую страницу, пользователь вводит логин, пароль и одноразовый код подтверждения, после чего доступ к счёту переходит к атакующим.
Истоки этого движения уходят к 2022–2024 годам, когда преступники массово рассылали фишинговые SMS якобы от почтовых служб или дорожных операторов США. Тогда цель состояла в том, чтобы через код подтверждения добавить карту жертвы в мобильный кошелёк на телефоне злоумышленника. Такие устройства, содержащие десятки привязанных карт, продавались оптом и использовались для бесконтактных покупок и интернет-мошенничества.
Уязвимость здесь кроется в том, что многие брокеры до сих пор используют SMS- или голосовые коды для двухфакторной защиты, что делает их уязвимыми для атак подобного рода. В отличие от Schwab или Fidelity, где код может приходить через разные каналы, только внедрение аппаратных ключей безопасности по стандарту U2F, как у Vanguard, действительно закрывает возможность фишинга.
Риск усугубляется тем, что за распространением и эксплуатацией этих инструментов стоят целые группы, применяющие элементы автоматизации и искусственный интеллект для ускоренной разработки фишинг-наборов. По словам исследователей, такие разработчики активно используют большие языковые модели для перевода, генерации интерфейсов и упрощения программирования. Это снижает порог входа для новых игроков и ускоряет появление всё более сложных атак.
