Ваша карта в чужом iPhone: мошенники научились привязывать счета к Apple Pay за секунды

Китайские фишинговые группировки, которые засыпают пользователей бесконечными SMS о «проблеме с доставкой» или «неоплаченном штрафе», запустили новый сезонный товар: комплекты для массового создания поддельных интернет-магазинов, крадущих данные банковских карт и привязывающих их к мобильным кошелькам Apple и Google. Одновременно группы расширили и набор приманок — теперь они рассылают сообщения о несуществующих налоговых вычетах и бонусных баллах мобильных операторов.

За последнюю неделю были зарегистрированы тысячи доменов, которые маскируются под сайты для клиентов T-Mobile и обещают им крупный бонусный баланс. Эти ссылки распространяются через iMessage и RCS — пользователю предлагают «забрать» тысячи баллов, после чего фишинговый сайт запрашивает имя, адрес, телефон и данные карты. Как только жертва вводит карту, сайт требует одноразовый код от банка — под предлогом подтверждения транзакции. На самом деле злоумышленники в этот момент пытаются привязать карту к своему устройству через Apple Pay или Google Wallet, и введённый код даёт им полный контроль для будущих списаний. Аналогичные домены нацелены и на пользователей AT&T.

По словам SecAlliance, сразу несколько базирующихся в Китае групп, предлагающих услуги типа Phishing-as-a-Service, уже давно используют подобные схемы в Европе и Азии, но только сейчас активно вышли на рынок США. Анализ доменов, связанных с этой группировкой, показывает подделки сайтов налоговых служб разных штатов — жертвам обещают «неполученный возврат», чтобы снова вытянуть данные карт и одноразовые коды.

Особенно сложным направлением стали поддельные интернет-магазины. В отличие от смишинг-доменов, которые быстро попадают в блоклисты, фейковые магазины не спамят весь мир, а привлекают покупателей через Google и Facebook* — часто по запросам конкретных товаров и «выгодных цен». Эти магазины создаются на базе тех же китайских фишинговых комплектов: внешне выглядят убедительно, но на этапе оплаты подгружают вредоносный скрипт, который после ввода карты инициирует её привязку к кошельку мошенника. Многие жертвы понимают, что попались, лишь спустя недели, когда заказ так и не приходит.

Специалисты отмечают, что такие сайты могут спокойно работать месяцами: их трудно обнаружить массовым сканированием, и они редко попадают в системы безопасного просмотра. Одним из самых эффективных способов борьбы остаётся оперативная отправка полученных фишинговых SMS и ссылок в сервисы, например smishreport[.]com. Достаточно прислать скриншот: алгоритм выявляет шаблоны и блокирует всю серию связанных доменов.

Специалисты предупреждают, что в конце года всплеск смишинг-атак неизбежен: в праздничной суете люди чаще покупают онлайн и меньше проверяют детали. Опасность усиливается тем, что мошенники охотно пользуются любой «срочностью» — уведомлениями о задержанных посылках, блокировках аккаунтов и прочих вымышленных проблемах.

Чтобы не стать жертвой таких схем, специалисты советуют избегать слепой охоты за минимальной ценой и проверять репутацию незнакомых магазинов. Новые домены особенно рискованны — просто проверьте дату создания через WHOIS. В случае подозрительных сообщений о проблемах с заказом лучше зайти на сайт службы доставки вручную, не переходя по ссылкам. А при любой онлайн-покупке стоит внимательно изучать условия доставки, скрытые сборы и правила возврата. Наконец, не менее важно следить за выписками по картам: праздничный поток транзакций — идеальное время для мошенников, чтобы спрятать свои списания среди легитимных покупок.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.