Получили SMS о заморозке счета и потеряли все акции. Прямо сейчас это происходит с тысячами инвесторов

SecAlliance FINRA Schwab Fidelity Vanguard Outsider фишинг биржа ценные бумаги
Получили SMS о заморозке счета и потеряли все акции. Прямо сейчас это происходит с тысячами инвесторов
SecAlliance FINRA Schwab Fidelity Vanguard Outsider фишинг биржа ценные бумаги

Как преступники манипулируют ценными бумагами, оставаясь при этом в тени.

image

Группы злоумышленников, специализирующиеся на мобильном фишинге, нашли новый способ извлекать прибыль из похищенных учётных данных. Если ранее они концентрировались на переводе украденных карт в цифровые кошельки и их последующей продаже для мошеннических операций, то теперь внимание сместилось на брокерские сервисы.

Исследователи из SecAlliance фиксируют рост так называемых схем «ramp and dump», когда захваченные аккаунты инвесторов используются для разгона стоимости акций и последующей продажи по завышенной цене. Механика этих атак во многом повторяет традиционные манипуляции «pump and dump» , но без необходимости создавать ажиотаж в социальных сетях.

Сценарий прост: преступники заранее скупают бумаги выбранной компании, а затем через множество захваченных аккаунтов брокеров резко увеличивают объём торгов. Это толкает цену вверх, и в нужный момент они избавляются от активов, фиксируя прибыль. Владельцы взломанных учётных записей, тем временем, остаются с обесцененными акциями, а брокерские платформы вынуждены разбираться с ущербом и недовольством клиентов. В феврале 2025 года ФБР уже объявляло о поиске пострадавших от таких махинаций.

По данным SecAlliance, значительная часть инфраструктуры атаки формируется в китайскоязычном сегменте Telegram, где открыто продаются готовые комплекты для мобильного фишинга. Эти наборы позволяют подделывать SMS и сообщения в iMessage или RCS, имитируя уведомления известных брокеров. Жертв убеждают в том, что их аккаунт заморожен из-за подозрительной активности, и просят срочно подтвердить данные, перейдя по ссылке. Попав на фальшивую страницу, пользователь вводит логин, пароль и одноразовый код подтверждения, после чего доступ к счёту переходит к атакующим.

Истоки этого движения уходят к 2022–2024 годам, когда преступники массово рассылали фишинговые SMS якобы от почтовых служб или дорожных операторов США. Тогда цель состояла в том, чтобы через код подтверждения добавить карту жертвы в мобильный кошелёк на телефоне злоумышленника. Такие устройства , содержащие десятки привязанных карт, продавались оптом и использовались для бесконтактных покупок и интернет-мошенничества.

Слабым местом оказалась одноразовая SMS-аутентификация, которую преступники легко перехватывали. Сегодня многие банки ужесточили процесс подключения карт, требуя подтверждения через мобильное приложение, однако это только подтолкнуло злоумышленников к поиску новых целей — и ими стали брокерские сервисы.

Особую известность в сообществе получила разработчица фишинг-китов под псевдонимом Outsider (ранее Chenlun), чьи продукты позволяют подстраивать шаблоны под различные торговые площадки. В демо-роликах на её каналах показано, как инструменты имитируют интерфейсы Charles Schwab, но при желании могут адаптироваться и под других игроков рынка.

Уязвимость здесь кроется в том, что многие брокеры до сих пор используют SMS- или голосовые коды для двухфакторной защиты, что делает их уязвимыми для атак подобного рода. В отличие от Schwab или Fidelity, где код может приходить через разные каналы, только внедрение аппаратных ключей безопасности по стандарту U2F, как у Vanguard, действительно закрывает возможность фишинга.

Риск усугубляется тем, что за распространением и эксплуатацией этих инструментов стоят целые группы, применяющие элементы автоматизации и искусственный интеллект для ускоренной разработки фишинг-наборов. По словам исследователей, такие разработчики активно используют большие языковые модели для перевода, генерации интерфейсов и упрощения программирования. Это снижает порог входа для новых игроков и ускоряет появление всё более сложных атак.

Главная опасность схемы «ramp and dump» в том, что она почти не оставляет следов, связывающих преступников с операциями. Они могут держать легальные счета на азиатских биржах, а рост цены акций будет выглядеть как обычный рыночный всплеск. В результате страдают инвесторы, чьи аккаунты были скомпрометированы, и сами брокерские компании, вынужденные противостоять новой волне мошенничества, которое сочетает социальную инженерию, технические уловки и слабые места в системах многофакторной защиты.