Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Онлайн-запуск MaxPatrol 360

Единый центр управления для SOС от Positive Technologies. Зарегистрироваться

Ваша «двухфакторка» была для него шуткой. ФБР поймало гения, который 7 лет вскрывал аккаунты, как консервные банки

leer en español

ФБР Indonesian National Police W3LL Group-IB Microsoft 365 фишинг киберпреступность
Ваша «двухфакторка» была для него шуткой. ФБР поймало гения, который 7 лет вскрывал аккаунты, как консервные банки
ФБР Indonesian National Police W3LL Group-IB Microsoft 365 фишинг киберпреступность

Разбираемся, почему громкий финал не вернёт пользователям приватность.

image

Международная операция против кибермошенников привела к громкому результату — правоохранители закрыли один из крупных сервисов для фишинга, который годами помогал злоумышленникам взламывать чужие аккаунты и зарабатывать на этом миллионы.

ФБР совместно с национальной полицией Индонезии ликвидировало инфраструктуру платформы W3LL — инструмента, который позволял создавать поддельные страницы входа и красть учётные данные пользователей. В ходе операции задержали предполагаемого разработчика, а также изъяли ключевые домены, связанные со схемой.

Сервис W3LL представлял собой не просто набор инструментов, а полноценную экосистему для киберпреступлений. За примерно 500 долларов клиенты получали доступ к конструктору фишинговых сайтов, спискам адресов для рассылок и другим ресурсам, необходимым для атак. Поддельные страницы копировали популярные сервисы и убеждали жертв вводить логины и пароли, после чего злоумышленники получали контроль над аккаунтами.

По данным американского ведомства, через W3LL пытались провести мошеннические операции на сумму свыше 20 миллионов долларов. При этом сама платформа обслуживала около 500 участников и распространяла не только инструменты, но и уже скомпрометированные учётные записи. С 2019 по 2023 год на площадке продали более 25 тысяч взломанных аккаунтов, включая доступ к удалённым рабочим столам.

Аналитики отмечали, что W3LL активно использовал схему перехвата сессий, позволяющую обходить многофакторную аутентификацию, особенно в сервисах Microsoft 365. Инфраструктура работала с 2017 года, а её создатель ранее разрабатывал инструменты для массовой рассылки спама.

Даже после закрытия онлайн-магазина в 2023 году противоправная деятельность не остановилась — продажи продолжились через зашифрованные мессенджеры, где продукт переименовали и продвигали дальше. Только за период с 2023 по 2024 год с помощью инструмента атаковали более 17 тысяч пользователей по всему миру.

Следствие считает, что разработчик не только создавал и продавал инструменты, но и перепродавал доступ к уже взломанным аккаунтам, усиливая масштаб атак и увеличивая доходы схемы.