Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

PT Application Firewall PRO: путь к лидерству

Угрозы меняются — мы уже адаптировались: увеличили производительность, стали быстрее и обеспечили централизованное управление Зарегистрироваться

Получили SMS о «сгорающих бонусах»? Значит вас только что попытались ограбить. Новая мошенническая схема Smishing Error524

leer en español

7261
Group-IB Cloudflare Smishing Error524 СМС мошенничество
Получили SMS о «сгорающих бонусах»? Значит вас только что попытались ограбить. Новая мошенническая схема Smishing Error524
Group-IB Cloudflare Smishing Error524 СМС мошенничество

Мошенники из 72 стран обманули тысячи людей, притворившись сломанным сайтом.

image

Мошенники нашли простой способ спрятать поддельные сайты от лишних глаз: вместо страницы, которая крадёт данные, они показывали обычную ошибку Cloudflare. Специалисты Group-IB раскрыли крупную операцию Smishing Error524, в рамках которой злоумышленники выдавали себя более чем за 260 брендов в 72 странах. Кампания была активна со второй половины 2025 года и затронула Латинскую Америку, Европу, Азиатско-Тихоокеанский регион и Северную Америку. Всего специалисты нашли 4389 фишинговых доменов, связанных с одной схемой.

Главной целью стали пользователи мобильных устройств. Жертвам отправляли SMS от имени известных компаний, банков, операторов связи и программ лояльности. В сообщениях обещали бонусы, предупреждали об истечении баллов или просили подтвердить доставку. Ссылка вела на поддельный сайт, но страница открывалась не для всех.

Если посетитель заходил не из нужной страны, не с телефона или без нужных параметров сеанса, сайт показывал фальшивую страницу ошибки Cloudflare. Чаще всего злоумышленники использовали экран с кодом Error 524. Для автоматических сканеров, хостинг-провайдеров и специалистов по безопасности такой домен выглядел как сломанный или неправильно настроенный сайт.

Если жертва подходила под условия, открывалась настоящая фишинговая страница. Сначала сайт просил ввести национальный идентификационный номер, затем показывал персональное «предложение» от имени бренда. После этого у пользователя запрашивали имя, адрес, электронную почту, номер телефона и данные банковской карты, включая срок действия и CVV.

Похищенная информация уходила злоумышленникам в реальном времени через зашифрованные каналы WebSocket. Когда жертва отправляла данные, её перенаправляли на настоящий сайт бренда, чтобы человек не сразу понял, что стал участником мошеннической схемы. Больше всего доменов Group-IB обнаружила в Мексике: 1851. Следом идут Чили с 529 доменами и Колумбия с 258 доменами. По отраслям лидируют операторы связи, на них пришлось 1754 домена. Далее идут финансовые организации и программы потребительских бонусов.

Инфраструктура кампании тоже была выстроена так, чтобы усложнить блокировку. Около 30% фишинговых сайтов размещались на серверах Tencent Cloud и Alibaba, а Cloudflare использовался как промежуточный слой, чтобы скрыть настоящие адреса. Домены массово регистрировались в дешёвых зонах вроде .ink, .top, .bond, .click, .icu, .vip и .cyou.

По оценке Group-IB, Smishing Error524 показывает, насколько зрелыми стали современные фишинговые сервисы. Злоумышленники уже не просто копируют страницы известных брендов, а фильтруют посетителей, прячут вредоносный код от проверок и передают украденные данные почти мгновенно. Для пользователей главный защитный принцип остаётся прежним: не переходить по ссылкам из SMS и не вводить данные карты на страницах, открытых из сообщений.