Китайские хакеры Smishing Triad проводят СМС-ограбления от лица американских служб доставки

ИБ-специалисты Resecurity предупредили о масштабной кампании смишинга, нацеленную на американских клиентов служб доставки. Кампанию проводит группировка «Smishing Triad».

Smishing Triad — это новая киберпреступная группировка, говорящая на китайском языке. Хакеры специализируются на смишинг-атаках, направленных на сбор личной и финансовой информации жертв. Группа в основном использует iMessage для отправки мошеннических сообщений, имитируя различные почтовые и финансовые службы. Жертвами группы стали граждане США, Великобритании, Польши, Швеции, Италии, Индонезии, Японии и других стран. Группа использует домены, зарегистрированные в различных зонах, включая .top, .com, .me, .shop, .site и .cc.

Smishing Triad также предлагает другим киберпреступникам специализированные наборы для смишинга, которые продаются через группы в Telegram. Подписки на наборы начинаются от $200 в месяц с дополнительной поддержкой клиентов на более высоких тарифных планах.

Группа Smishing Triad обычно использует iMessage для рассылок мошеннических сообщений по отслеживанию посылок и крадет личную персональную информацию жертв (Personally Identifiable Information, PII) и финансовые данные (например, данные платежной карты или банковские реквизиты) для мошенничества с кредитными картами и кражи личных данных.

В обнаруженной кампании Smishing Triad немного изменила свою стратегию и использует сообщения из скомпрометированных учетных записей Apple iCloud для обмана пользователей. Также выяснилось, что набор инструментов для смишинга Smishing Triad продается в группах Telegram, создавая обширную и хорошо организованную сеть мошенничества.

В Telegram-канале Smishing Triad продаются смишинг-комплекты

Группа по анализу угроз Resecurity получила доступ к одному из таких комплектов и провела реверс-инжиниринг. Команда обнаружила уязвимость SQL-инъекции, с помощью которой хакеры могли получить конфиденциальные данные более 108 000 пользователей, и предупредила потенциальных жертв о вероятности кражи личных данных.

В текущей кампании в качестве целей выбраны граждане США. Мошенники подделывают сообщения от ведущих служб доставки, таких как:

• USPS (США);
• Correos (Испания);
• New Zealand Post (Новая Зеландия);
• Royal Mail (Великобритания);
• Postnord (Швеция);
• Poczta Polska (Польша);
• J&T Express (Индонезия);
• Poste Italiane и итальянская налоговая служба (Agenzia delle Entrate).

Жертва получает сообщение с просьбой предоставить дополнительную информацию или оплатить доставку через кредитную карту. После получения нужных данных злоумышленники могут совершать финансовые мошенничества.