ФБР накрыло фишинговую сеть китайских хакеров с ИИ, похитившую миллионы данных банковских карт

Американские правоохранители совместно с Google и аналитиками Black Lotus Labs уничтожили платформу Outsider Enterprise, годами обслуживавший киберпреступников по всему миру. Сервис продавал готовые инструменты для фишинга, поддельные сайты и автоматизацию атак с применением нейросетей. Предварительный ущерб от деятельности сети оценивается в 1,9 млрд долларов, скомпрометировано свыше 3,8 млн банковских карт.

Outsider Enterprise работала по модели «преступности как услуги». За абонентскую плату клиенты получали полный комплект инструментария для запуска мошеннических кампаний. В арсенале сервиса находились:

• наборы готовых фишинговых страниц под популярные бренды;
• инфраструктура для массовых SMS-рассылок;
• средства автоматизации атак и обхода защитных систем;
• нейросетевые модели для генерации правдоподобных приманок;
• панели управления кампаниями через Telegram.

Запуск платформы был запущен в 2023 году. За два с лишним года работы сеть выросла до промышленных масштабов. По подсчётам Google, с группировкой связаны примерно 9 тыс. поддельных доменов и более миллиона мошеннических URL-адресов. Жертв заманивали под видом банков, маркетплейсов, служб доставки и государственных порталов.

Интересно, что львиная доля мошеннических SMS уходила через сети легальных мобильных операторов, и Google пришлось договариваться с AT&T, T-Mobile и Verizon о блокировке подозрительного трафика ещё до доставки абонентам.

Координация преступного сообщества велась через Telegram. Там размещались админ-панели, клиентские чаты, биржа украденных данных и техподдержка для покупателей сервиса. В ходе операции следователи перехватили управляющего бота, обнаружив внутри полную клиентскую базу с историей закупок и параметрами проведённых атак.

Размах рассылок впечатляет даже видавших виды аналитиков. Цифры Google за две недели мая выглядят так:

• около 2,5 млн SMS-сообщений отправлено только пользователям Android;
• порядка 55 тыс. писем помечены получателями как мошеннические;
• свыше 10 млрд опасных уведомлений ежемесячно отсеивают встроенные фильтры Android;
• 9 тыс. поддельных доменов перехвачено в рамках операции;
• 100 тыс. USDT изъято с криптокошельков группировки.

Реальное число пострадавших, по мнению аналитиков, кратно выше публичных оценок. Большинство жертв вообще не сообщают о фактах кражи данных, обнаруживая пропажу денег уже после того, как карта обнулена. Следствие исходит из показателя в 3,8 млн скомпрометированных карт, но эта цифра почти наверняка занижена.

Юридическая часть операции оказалась не менее жёсткой, чем техническая. Google подала гражданский иск против структур, стоящих за Outsider Enterprise, рассчитывая лишить организаторов возможности восстановить инфраструктуру под новой вывеской. ФБР параллельно провело серию изъятий серверного оборудования и финансовых активов. Под контроль ведомства перешли:

• административные панели сервиса;
• тестовые стенды для отладки фишинговых кампаний;
• расчётные кошельки и платёжные шлюзы;
• доменный пул из тысяч поддельных адресов;
• архивы переписки и логи операций.

Захваченные домены теперь ведут не на форму ввода карточных данных, а на страницу-заглушку ФБР с уведомлением о блокировке ресурса. Это привычная практика американских правоохранителей, но в данном случае объём перенаправлений рекордный за последние годы.

Стоит обратить внимание, что вся операция получила кодовое название Operation Riptide и стала частью большой программы по выкорчёвыванию сервисной киберпреступности — той самой модели, где сложные атаки доступны любому желающему с парой сотен долларов в кармане.

Google не ограничивается оперативной частью и продвигает пакет законодательных инициатив против мошенничества с применением нейросетей. Корпорация поддерживает несколько законопроектов, расширяющих полномочия следователей при работе с инфраструктурой подобных сервисов. Одновременно компания напоминает владельцам смартфонов о защитных механизмах самой платформы Android — анализе подозрительных вызовов, фильтрации сообщений по контексту, автоматической блокировке рассылок с признаками мошенничества.

Также ранее мы писали о том, что ФБР провело операцию по ликвидации сети интернет-ресурсов, которые использовались для сбора информации о действующих и бывших сотрудниках государственных органов и военнослужащих США. В рамках расследования американские власти изъяли 13 доменных имён. По версии следствия, организаторы кампании выдавали себя за представителей консалтинговых компаний и кадровых агентств, пытаясь установить контакт с людьми, имеющими доступ к конфиденциальной информации. Власти США связали эту деятельность с интересами китайской разведки.

Эксперты редакции CISOCLUB убеждены, что разгром Outsider Enterprise не приведёт к долгосрочному снижению фишинговой активности. На месте одного выбитого сервиса в течение нескольких месяцев появятся два-три новых проекта с аналогичным функционалом, но более устойчивой архитектурой. Сервисная модель киберпреступности доказала свою живучесть, и каждая успешная операция правоохранителей лишь подталкивает операторов к усилению децентрализации.

Реальное снижение угрозы возможно только при синхронной работе сразу нескольких юрисдикций, а пока этого не происходит. Применение нейросетей в фишинге окончательно превратилось из экзотики в стандарт индустрии, и пользователям придётся учиться жить в реальности, где правдоподобное SMS от «банка» сгенерировано машиной за секунду. Защита смещается в сторону платформ и операторов связи, потому что обычный человек уже не в состоянии отличить подделку от оригинала.