Браузерный фишинг e‑Challan: RTO‑кампания и финансовые потери

В последнее время зафиксирована активизация фишинговых кампаний, нацеленных на пользователей сервисов Регионального транспортного управления (RTO) в Индии. Мошенники используют тематику e‑Challan, подделывают уведомления о штрафах и добиваются от жертв оплаты с помощью кредитных или дебетовых карт. В отличие от предыдущих атак, где применялось Android‑malware, текущая волна опирается исключительно на браузерный фишинг — это делает атаки проще в развертывании и эффективнее при охвате широкой аудитории.

Краткое содержание расследования

Ключевые выводы отчёта:

• Атаки реализуются через SMS с встроенными URL, ведущими на фишинговые страницы;
• При клике пользователь перенаправляется на фишинговый домен, размещённый по IP-адресу 101.33.78.145;
• Сообщения намеренно создают _ощущение срочности_, что снижает эффективность браузерных предупреждений (например, от Microsoft Defender);
• SMS поступают с номера, зарегистрированного в Индии, и отправляются через локальную мобильную сеть Reliance Jio Infocomm Limited — это повышает доверие жертв к сообщению;
• Мошенники динамически подделывают данные challan и вынуждают к оплате картами, что, по оценке авторов, делает транзакции для них менее заметными по сравнению с UPI или net banking;
• Атака охватывает инфраструктуру, связанную с правительственным сектором, логистикой и BFSI, что указывает на профессионализацию операций.

«Фишинг на тему RTO остаётся мощным вектором угрозы, усиливаясь за счёт реалистичных пользовательских интерфейсов и психологических триггеров, вызывающих у жертв безотлагательность» — исследователи.

Технический анализ

Текущая кампания демонстрирует переход от malware‑ориентированных операций к полностью браузерным схемам: злоумышленники не требуют установки приложений и не нуждаются в детальной персональной информации о жертве для успешной атаки. Механика выглядит следующим образом:

• SMS с поддельным уведомлением e‑Challan → встроенная ссылка → перенаправление на фишинговый домен по IP 101.33.78.145;
• Форма оплаты на фишинговой странице маскируется под официальный интерфейс, просит данные карты;
• Сбор учётных данных/вводимых данных и последующая эксфильтрация через C2‑каналы;
• Использование местной SIM‑сети (Reliance Jio) для отправки SMS повышает доверие и вероятность клика.

MITRE ATT&CK — соответствующие техники

Зафиксированные методы соотнесены с MITRE ATT&CK:

• T1566.001 — Phishing: SMS‑based phishing (Initial Access)
• T1056 — Input Capture (перехват вводимых данных при вводе учётных данных)
• T1119 — Automated Collection (автоматизированный сбор пользовательских данных)
• T1041 — Exfiltration over C2 channel (эксфильтрация через канал командования и контроля)
• T1657 — Financial Loss (итог — финансовая кража)

Индикаторы компрометации (IoC)

• IP: 101.33.78.145 — домен/сервер, используемый для размещения фишинговых страниц;
• SMS‑сообщения, приходящие с номера, зарегистрированного в Индии, отправленные по сети Reliance Jio Infocomm Limited;
• Формы оплаты на сайтах, имитирующих интерфейс e‑Challan и требующие данных карт вместо UPI/net banking.

Психология и эффективность атак

Одна из причин успешности кампании — использование приёмов социальной инженерии: _срочность_, официальный тон уведомления и элементы реального интерфейса RTO. Эти факторы заставляют пользователей игнорировать браузерные предупреждения и действовать импульсивно. В результате даже встроенные средства защиты, включая предупреждения Microsoft Defender, часто оказываются недостаточно эффективными против целевых фишинг‑сообщений.

Отраслевые последствия

Атака затрагивает не только частных пользователей: инфраструктура обеспечивает охват государственных сервисов, логистики и BFSI, что указывает на координированную и профессионально организованную кампанию, а не на спорадические мошенничества. Финансовые потери пользователей и риски для репутации государственных служб создают серьёзную проблему доверия к цифровым платежам.

Рекомендации по защите

Рекомендации для пользователей:

• Не переходите по ссылкам в непрошенных SMS; проверяйте уведомления через официальный сайт e‑Challan или мобильное приложение RTO;
• Если сообщение кажется срочным — звоните в соответствующую службу RTO по официальному телефону, указателю на сайте;
• Не вводите данные банковских карт на страницах, открытых по SMS‑ссылкам; предпочитайте UPI или net banking для оплаты, если это поддерживается и подтверждено официально;
• Включите многофакторную аутентификацию (MFA) в банковских сервисах и используйте надёжные браузеры с актуальными обновлениями.

Рекомендации для организаций (RTO, банки, операторы связи):

• Усилить информационные кампании и предупреждения для граждан о фишинговых схемах, связанных с e‑Challan;
• Внедрить механизмы проверки транзакций и уведомлений (например, цифровые подписи в SMS или одноразовые коды, сверяемые через официальный портал);
• Сотрудничать с мобильными операторами (включая Reliance Jio) для оперативной блокировки подозрительных SMS‑рассылок и идентификации злоупотреблений локальными SIM‑картами;
• Мониторить отклоняющуюся активность и подозрительные IP‑адреса (включая 101.33.78.145) и оперативно вносить их в блок‑списки на уровне сетевой инфраструктуры;
• Проводить регулярное обучение персонала и симуляции фишинговых атак для повышения устойчивости к социальной инженерии.

Вывод

Текущая кампания демонстрирует эволюцию фишинга: переход к браузерным техникам и использование локальных каналов доставки (SMS через Reliance Jio) делает атаки более правдоподобными и труднее заметными для пользователей. Комплексный ответ — сочетание технических мер, мониторинга IoC и просвещения населения — необходим для снижения риска и удержания уровня мошенничеств под контролем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.