8000 IP-адресов и миллионы жертв: Smishing Triad взяла мир на SMS-крючок

Кибергруппа Smishing Triad, действующая из Китая, развернула широкомасштабную кампанию, охватившую пользователей более чем в 121 стране. В основе операций — кража банковских данных с помощью фишинга через SMS, однако деятельность преступников не ограничивается только финансовым сектором. Под удар также попали логистические, розничные и почтовые службы.

По данным анализа инфраструктуры , проведённого исследователями из Silent Push, только за 20 дней зафиксировано более миллиона визитов на страницы, использовавшиеся группировкой. Это указывает на объёмы, существенно превышающие ранее озвученные 100 тысяч фишинговых SMS в сутки.

Новой вехой в эволюции Smishing Triad стало появление набора инструментов «Lighthouse». Он не только облегчает запуск фишинговых страниц в один клик, но и поддерживает синхронизацию в реальном времени, обеспечивая мгновенное похищение данных. Комплекс позволяет перехватывать OTP, PIN-коды и проходить 3DS-проверку, что делает его особенно опасным.

Целями становятся десятки банковских организаций, преимущественно в Австралии и странах Азиатско-Тихоокеанского региона. Среди них — Commonwealth Bank, National Australia Bank, а также глобальные платформы вроде PayPal, Mastercard и HSBC. Это свидетельствует о смещении фокуса с массовых атак на более «прибыльные» мишени.

Инфраструктура группировки впечатляет масштабами: задействовано свыше 8 800 уникальных IP-адресов и более 200 автономных систем. Большая часть фишинговых сайтов размещается на хостингах китайских технологических гигантов Tencent и Alibaba, что подчёркивает тесную связь с китайским интернет-пространством.

Среди применяемых методов — не только массовые SMS-рассылки, но и отправка сообщений через скомпрометированные аккаунты Apple iCloud и локальные телефонные номера. Это усложняет отслеживание, а также снижает подозрения у жертв.

С марта 2025 года Smishing Triad активизировалась и ввела в оборот новый фишинговый комплект, который якобы поддерживается «300+ операторами по всему миру». Это говорит о масштабной координации и наличии глобальной сети, обслуживающей преступные схемы.

Silent Push продолжает мониторинг и сотрудничает с международными организациями для противодействия атакующим. Однако высокая частота ротации доменов — десятки тысяч новых за неделю — делает работу по блокировке затруднительной.

Эксперты подчёркивают, что столь продвинутые и масштабные операции требуют не только технических мер, но и развития цифровой грамотности среди пользователей. Без международной координации и постоянного мониторинга нарушений ситуация может усугубиться.

Атаки Smishing Triad на банковскую сферу по всему миру подтверждают, что киберпреступность становится всё более изощрённой и масштабной. Защититься от неё можно лишь при сочетании технологий, осведомлённости и глобального сотрудничества.