Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

Ошибка ввода? Нет, проверка связи. Зачем мошенники заставляют вводить пароль дважды

leer en español

Group-IB Филиппины Cloudflare фишинг банк
Ошибка ввода? Нет, проверка связи. Зачем мошенники заставляют вводить пароль дважды
Group-IB Филиппины Cloudflare фишинг банк

Более 400 человек потеряли сбережения из-за новой кампании киберпреступников.

image

Специалисты Group-IB описали новую кампанию, в которой злоумышленники атакуют клиентов банков на Филиппинах и действуют так аккуратно, что их письма и сайты почти не отличить от настоящих. Продолжающаяся атака началась ещё в начале 2024 года и к 2026 году не только не затихла, но и заметно усложнилась. Под удар попали пользователи как минимум трёх крупных банков, а не сами банки.

Схема начинается с писем, отправленных с взломанных учётных записей. Внутри – тревожные сообщения о подозрительной операции или входе в аккаунт с нового устройства. Ранее злоумышленники предлагали «отменить платёж», теперь чаще просят подтвердить данные или «повысить безопасность» учётной записи. Давление на срочность работает как и прежде: человек кликает по ссылке и попадает на поддельную страницу.

Для рассылки используют не случайные адреса, а реальные учётные записи, украденные ранее. Такие логины и пароли собирают в так называемые базы combolist, которые активно распространяют на теневых форумах. Благодаря этому письма выглядят более правдоподобно и чаще проходят фильтры почтовых сервисов.

С середины 2025 года злоумышленники изменили подход к ссылкам. Вместо прямых адресов начали прятать вредоносные страницы за сервисами с хорошей репутацией. В ход идут страницы бизнес-профилей Google, сеть доставки контента AMP, сервисы сокращения ссылок и облачные инструменты разработки. Ссылки выглядят безопасно, а фильтры пропускают такие письма.

Дополнительно злоумышленники активно используют инфраструктуру Cloudflare, где можно быстро развернуть поддельные страницы и так же быстро сменить адрес, если предыдущий заблокировали. Ещё более тревожный момент – взлом домена учебного заведения на Филиппинах. На его базе развернули фишинговую инфраструктуру с действительными сертификатами безопасности, что ещё сильнее повышает доверие жертв.

После перехода по ссылке пользователь попадает на страницу, почти полностью копирующую интернет-банк. Сайт подгружает элементы напрямую с настоящих серверов банка, поэтому выглядит максимально убедительно. Сначала просят логин и пароль, затем номер телефона и часть данных карты, а в конце – одноразовый код из СМС.

Ключевой момент – всё происходит в реальном времени. Как только жертва вводит код, злоумышленники сразу используют его для обхода двухфакторной защиты и переводят деньги. Для сбора данных применяют ботов в Telegram, которые автоматически получают информацию и связывают её с конкретной жертвой.

В коде страниц заложена дополнительная уловка. После первого ввода логина и пароля система специально выдаёт ошибку и просит повторить данные. Такой приём позволяет отсеять опечатки и получить точные учётные данные. По оценке специалистов, с начала 2024 года пострадали более 400 человек. За это время злоумышленники распространили свыше 900 вредоносных ссылок. Судя по жалобам пользователей, деньги со счетов списывали буквально через несколько минут после ввода кода.

Кампания показывает, насколько сильно изменился фишинг. Злоумышленники больше не полагаются на грубые подделки. Вместо этого используют легитимные сервисы, взламывают реальные домены и выстраивают атаки так, чтобы обойти защиту и не вызвать подозрений.