Фейковые VPN превращают домашний интернет в товар для даркнета

Обычные домашние интернет-подключения массово втягиваются в гигантскую сеть прокси-серверов, а хозяева роутеров и смартфонов часто понятия не имеют о происходящем. По данным Digital Citizens Alliance, только на территории США в подобных схемах задействовано свыше 20 млн IP-адресов, которые затем оказываются в руках мошенников и преступных группировок.

Доклад «Киберпреступность через дверной звонок» некоммерческая организация Digital Citizens Alliance подготовила вместе со специалистами risk3sixty. За вывеской легальных сервисов резидентных прокси, по версии авторов, прячется запутанная экосистема, где смешаны заражённые пользовательские устройства, замаскированные серверные мощности, зарубежные площадки и подпольные группы.

Стоит обратить внимание, что резидентные прокси изначально появились вовсе не для тёмных целей.

Бизнес запускал их ради проверки рекламных кампаний, тестирования сайтов в разных странах, разбора локальных версий интернет-ресурсов. Со временем спрос на такие услуги пошёл резко вверх, а вместе с ним к рынку подтянулись преступники и государственные структуры разных стран.

Аналитики изучили инфраструктуру 7 крупных поставщиков прокси и получили крайне неприятную картину рынка. Цифры из отчёта выглядят так:

• около 80% обнаруженных соединений привязаны к домашним IP-адресам рядовых пользователей;
• порядка 85% этих адресов ранее уже фигурировали в различных системах как подозрительные;
• одни и те же IP многократно всплывают в разных мошеннических операциях;
• инфраструктура поставщиков пересекается с зарубежными площадками;
• значительная часть трафика проходит без какого-либо реального контроля.

Сервисы совместного использования интернет-канала получили в исследовании отдельное место. В пример авторы приводят Honeygain, через который владельцы устройств получают небольшие выплаты за то, что отдают часть пропускной способности другим участникам. Такие платформы активно продвигаются среди студентов и молодёжи как лёгкий способ подзаработать, не вставая с дивана.

При разборе трафика специалисты Digital Citizens Alliance наткнулись на соединения, ведущие к организациям в Китае и России. В отчёте упоминается и обнаруженный трафик с банком, находящимся под санкциями Министерства финансов США. Подобные примеры показывают, насколько мало хозяин домашнего подключения понимает, куда уходит его IP-адрес после установки безобидного на вид приложения.

Отдельный блок исследования охватил порядка 26 млн уникальных домашних IP-адресов, за которыми наблюдали 30 дней. Почти половина из них одновременно крутилась сразу в нескольких прокси-сервисах. То есть после попадания в экосистему один адрес перепродаётся многократно и работает на совершенно разных клиентов с разными намерениями.

Не обошли стороной и даркнет. По данным аналитиков, примерно половина из 42 изученных теневых торговых площадок содержит объявления о продаже услуг резидентных прокси. Это лишний раз говорит о спросе на инструмент среди участников подпольного рынка.

Уточняется, что далеко не каждый владелец устройства осознанно соглашается превратить свой роутер в часть прокси-сети.

Часть пользователей и правда сама ставит приложения ради копеечного дохода. Но существует целый набор схем, через которые устройства подключают к чужой инфраструктуре втихую. Среди распространённых способов попадания в прокси-сеть выделяют:

• фейковые VPN-приложения с заявленным шифрованием и скрытой функцией прокси;
• ранее заражённые смартфоны, телевизионные приставки и роутеры;
• модифицированные прошивки на дешёвой электронике из неофициальных магазинов;
• встроенные SDK в бесплатных утилитах и играх;
• устройства из ботнета BADBOX, через который злоумышленники годами получали доступ к чужим интернет-каналам без всякого согласия владельцев.

Авторы доклада не стесняются в формулировках и называют нелегальную торговлю домашними IP-адресами «кровавыми алмазами цифровой эпохи». Участники рынка могут хоть сто раз говорить, что не знают происхождения продаваемых соединений, но цепочка целиком построена на ресурсах обычных людей, у которых никто разрешения не спрашивал.

Конечные продавцы прокси получают доступ к огромному пулу домашних адресов и предлагают его дальше — коммерческим заказчикам, государственным структурам, преступным группировкам. Даже добросовестный посредник, по версии Digital Citizens Alliance, превращается в часть конструкции, основанной на обмане пользователей и скрытом отжиме чужого трафика.

Ранее мы писали о том, что Федеральная торговая комиссия США зафиксировала рекордные потери американцев от мошеннических схем. По данным ведомства, только в 2025 году граждане США лишились около 3,5 млрд долларов из-за преступников, выдававших себя за сотрудников банков, государственных органов и других официальных организаций. Общий ущерб от всех видов мошенничества за год достиг примерно 16 млрд долларов, став самым высоким показателем за всё время наблюдений.

Эксперты редакции CISOCLUB заявили по этому поводу, что рынок резидентных прокси давно перерос состояние серой зоны и превратился в полноценную теневую отрасль с миллиардными оборотами. Любое приложение, обещающее лёгкий пассивный доход за «лишний» интернет, нужно рассматривать как потенциальный канал утечки IP-адреса в криминальную инфраструктуру. Производителям дешёвой электроники пора прекращать закрывать глаза на предустановленные SDK и модифицированные прошивки, а регуляторам — задавать неудобные вопросы поставщикам прокси-услуг.

Пользователям стоит проверять происхождение VPN-сервисов, отказываться от сомнительных приложений-«заработков» и регулярно обновлять прошивки роутеров. Без давления сверху и осознанности снизу количество домашних адресов в чужих руках продолжит расти, а вместе с ним и масштаб ущерба для рядовых владельцев устройств.