Обзор новостей информационной безопасности с 27 июня по 3 июля 2025 года

Дайджест Start X № 424

3 июля 2025
11 минут
эксперт в информационной безопасности в Start X
Андрей Жаркевич
эксперт в информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Как действуют преступники
  1. Злоумышленники создали целую сеть фальшивых сайтов, внешне полностью копирующих дизайн и ассортимент таких компаний, как Apple, PayPal, Nordstrom, Hermes и Michael Kors.
  2. Пользователей вводят в заблуждение реалистичными витринами и страницами оформления заказа, чтобы они добровольно вводили данные банковских карт.
  3. Некоторые фальшивые сайты настолько достоверны, что повторяют оригинальные описания товаров и даже используют настоящие виджеты Google Pay для усиления доверия. Однако продукция никогда не доставляется покупателю.
  4. При вводе платёжных данных система имитирует стандартный процесс покупки. Попадаются и очевидно подозрительные примеры. Например, поддельный сайт магазина музыкальных инструментов Guitar Center предлагал товары для детей, не имеющие отношения к музыке.

Точное количество пострадавших и общий ущерб пока не известно. Часть фальшивых сайтов уже заблокирована хостинг-провайдерами, но только за последний месяц найдены тысячи функционирующих подобных ресурсов.
Особенности кампании
  1. Злоумышленник звонит жертве якобы от лица маркетплейса и сообщает, что для получения заказа курьером нужно назвать проверочный код из sms, при этом сам код приходит от букмекерской конторы BetBoom.
  2. Мошенник подтверждает у жертвы ее ФИО и дату рождения. Этих данных достаточно, чтобы зарегистрироваться на BetBoom и в любом другом букмекере, убедились «Ведомости».
  3. Чтобы пополнять кошелек или выводить денежные средства с него, нужно пройти верификацию через «Госуслуги» или единый ЦУПИС (Единый центр учета переводов ставок букмекерских контор и тотализаторов). Во втором случае уже требуются паспортные данные. Злоумышленники могут использовать эти данные из ранее утекших баз данных.
  4. Мошенник может повторно позвонить жертве, представившись уже госслужащим или сотрудником банка. Он запугивает жертву, сообщив, что в ходе предыдущего звонка мошенники получили проверочный код и для прерывания денежных операций от его лица следует пройти «настоящую» авторизацию — с проверкой паспортных данных.
  5. После регистрации на ЦУПИС мошенническая схема готова для использования. Цель таких действий — не получение прибыли от ставок, а маскировка движения средств под видом легальных операций: вместо дропперской банковской карты, обычно служившей раньше «транзитным пунктом», украденные деньги проходят через электронные кошельки у букмекеров. Отследить такую цепочку крайне затруднительно.
Особенности кампании
  1. Злоумышленники организовали десятки фальшивых сайтов, которые маскируются под сервисы возврата «комиссии за газ» — так называют обязательный платёж за выполнение транзакций в блокчейне Ethereum. На самом деле цель мошенников — получить приватные ключи и другую конфиденциальную информацию, которая даёт полный доступ к криптокошелькам пользователей.
  2. Чтобы заманить жертв, преступники рассылают электронные письма с заманчивыми предложениями — якобы можно получить возврат уплаченных ранее «сборов за газ».
  3. В письме размещена ссылка на фальшивый ресурс. Оказавшись там, пользователю предлагают подключить свой криптовалютный кошелёк для подтверждения личности и получения возврата. На этом этапе человек сам предоставляет злоумышленникам доступ к своим средствам.
  4. Для реализации этой схемы преступники нелегитимно используют WalletConnect — широко распространённый протокол с открытым исходным кодом. Он предназначен для безопасного подключения криптокошельков к сторонним децентрализованным сервисам, чаще всего через QR-коды или ссылки. Однако в данном случае WalletConnect применяется как инструмент обмана.
Особенности кампании
  1. Ключевую роль играют специальные радиопередатчики, известные как СМС-бластеры. Эти устройства формируют поддельный сигнал сети, который смартфон ошибочно принимает за официальную точку доступа.
  2. Как только телефон подключается к такому источнику, злоумышленники получают возможность отправлять сообщения напрямую на устройство, минуя стандартные средства защиты — включая фильтрацию спама и системы, блокирующие мошеннические СМС.
  3. Сами сообщения выглядят так же, как и обычные, получаемые через операторов. Но в отличие от стандартных схем, где преступникам нужны базы телефонных номеров, при использовании СМС-бластеров достаточно оказаться рядом с выбранной целью.
  4. Атака направлена не на отдельные контакты, а охватывает всех, кто попал в зону действия фальшивой сети. Особенно подобные схемы опасны в людных местах.
  5. Тактика уже зафиксирована в нескольких странах. Угроза заключается не только в обходе операторских сетей, но и в том, что стандартные инструменты защиты от спама и мошенничества просто бесполезны.
Особенности кампании
  1. Жертве поступает звонок на домашний телефон якобы от Ростелекома или другого оператора связи.
  2. Абоненту сообщают, что необходимо срочно продлить договор или подтвердить личность, и под этим предлогом просят продиктовать код из СМС, который якобы пришел для авторизации.
  3. На самом деле в этот момент мошенники пытаются войти в личный кабинет на портале Госуслуги" или в онлайн-банк и, получив код, получают полный доступ к данным жертвы.
  4. Следующим этапом является звонок уже от «сотрудника полиции» или «представителя Росфинмониторинга» с дальнейшим запугиванием человека и предложением перевести деньги на «безопасный счет» или отдать их курьеру «на проверку». Всё это сопровождается психологическим давлением, формальной речью и ссылками на закон.
  5. Основная задача мошенников — выбить жертву из эмоционального равновесия, чтобы она перестала критически оценивать происходящее. Особенно опасно, что атаки идут по отработанному сценарию, который подстраивается под возраст и уровень цифровой грамотности жертвы.

Инциденты

Баннер на сайте авиакомпании гласит, что инцидент никак не повлиял на безопасность полетов и расписание рейсов. Аналогичное сообщение размещено и на сайте Alaska Airlines, принадлежащей Alaska Air Group, компании, которая приобрела Hawaiian Airlines в прошлом году.

Пока неясно, пострадали ли системы Hawaiian Airlines от атаки вымогателей, которые зашифровали их, или же системы были отключены для предотвращения взлома. Ни одна хакерская группа пока не взяла на себя ответственность за эту атаку. Эксперты считают, что за взломом может стоять хакерская группировка Scattered Spider.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Как пояснили представители компании, инцидент начался с того, что неизвестные лица атаковали контактный центр Qantas и через него проникли в платформу стороннего поставщика услуг, которая используется для обслуживания клиентов.

Предполагают, что в распоряжении злоумышленников оказались персональные сведения миллионов клиентов: имена, адреса электронной почты, номера телефонов, даты рождения и номера участников программы лояльности Frequent Flyer. Платёжные данные, пароли, PIN-коды и прочие данные для входа в личные кабинеты не были скомпрометированы.

Авиакомпания уточнила, что на данной платформе содержатся записи о шести миллионах клиентов. На текущий момент специалисты продолжают выяснять точный объём утечки.
Официальное заявление гласит, что МУС удалось предотвратить «сложный и таргетированный» киберинцидент, который был обнаружен благодаря системам, предназначенным для выявления кибератак.

«Этот инцидент стал вторым подобным случаем за последние годы и был оперативно обнаружен, подтвержден и локализован с помощью механизмов оповещения и реагирования МУС. В настоящее время проводится анализ последствий атаки, а также принимаются меры по смягчению любых возможных последствий», — сообщают в организации.

В настоящее время представители МУС не предоставляют никакой дополнительной информации о характере атаки, ее влиянии на системы суда, а также о том, удалось ли злоумышленникам получить доступ к каким-либо данным или файлам.
Злоумышленники похитили данные, а затем зашифровали все системы Radix, после чего опубликовали информацию в даркнете. В настоящее время специалисты Национального центра кибербезопасности (NCSC) страны проводят анализ похищенных данных, чтобы определить, какие государственные учреждения затронула эта атака.

Представители Radix утверждают, что уже проинформировали всех пострадавших с помощью персонализированных уведомлений, и отмечают, что нет никаких доказательств утечки конфиденциальных данных партнерских организаций.

Хакеры бесплатно выложили архив похищенных у Radix данных объемом 1,3 ТБ, включающий сканы документов, финансовые данные, контракты и сообщения.

Что еще почитать

Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.