Фишинговая инфраструктура атакует транспорт и госуслуги ОАЭ

В ОАЭ и Сингапуре выявлена масштабная фишинговая и smishing-инфраструктура, нацеленная на транспортный, государственный и логистический секторы. По данным отчета, речь идет о PhaaS — phishing-as-a-service, то есть о сервисной модели фишинга, которая позволяет злоумышленникам быстро развертывать кампании в промышленных масштабах.

Как устроена кампания

Инфраструктура использует динамически генерируемые поддомены, размещенные на Alibaba Cloud. Среди выявленных элементов кампании — фишинговый домен emiratespost.ae.tcsz.top и IP-адрес хостинга 47.254.56.221. Последний, как отмечается в отчете, связан с операциями, напоминающими действия, ассоциируемые с Smishing Triad.

Для маскировки и быстрой масштабируемости злоумышленники активно используют домены в зонах .top и .cc, а также короткие случайные доменные имена, комбинируя их с названиями легитимных организаций. Такая схема позволяет создавать убедительные поддомены, способные вводить пользователей в заблуждение.

Кого атакуют

Под атакой оказываются высокодоверенные публичные сервисы и организации, включая:

• Emirates Post;
• Salik;
• Parkin;
• Dubai Police;
• Aramex;
• Land Transport Authority в Сингапуре.

Выбор этих целей не случаен: они связаны с регулярными платежами, логистикой и проверкой личности, то есть с сервисами, где пользователи часто вводят конфиденциальные данные.

Цели злоумышленников

По всей видимости, основная задача кампании — финансовое мошенничество. В отчете говорится о сборе учетных данных, краже платежных карт и возможных атаках на национальные системы цифровой идентификации, включая UAE Pass.

Анализ показывает, что окончательная атрибуция остается сложной задачей, однако сходство инфраструктуры и методологий с теми, что используются Smishing Triad, указывает на заметное операционное сходство.

Признаки зрелой фишинговой операции

Кампания демонстрирует признаки автоматизации в промышленных масштабах. Среди них:

• быстрая регистрация доменов;
• оперативный выпуск SSL certificates;
• методы фишинговой доставки с geotargeting;
• использование географической привязки для показа вредоносного контента только целевой аудитории.

Отдельно отмечается систематическое применение случайных четырехсимвольных доменов верхнего уровня в зонах .top и .cc. Такие TLD часто выбирают для фишинга из-за низкой стоимости и возможности быстрого развертывания инфраструктуры.

Почему это важно

Отчет подчеркивает тревожную тенденцию: злоумышленники все активнее смещают фокус на высокодоверительные digital-среды, особенно там, где пользователи регулярно взаимодействуют с государственными и транспортными сервисами. В результате мобильный фишинг и smishing продолжают эволюционировать, становясь более точечными, автоматизированными и сложными для блокировки.

Таким образом, обнаруженная инфраструктура представляет собой не одиночную кампанию, а устойчивую и масштабируемую экосистему фишинга, ориентированную на извлечение финансовой выгоды и компрометацию доверенных цифровых сервисов в ОАЭ и Сингапуре.