СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
27 мая
#ИБ

Китайские фишинг-сервисы крадут пароли и одноразовые коды прямо в момент ввода

Китайские фишинг-сервисы крадут пароли и одноразовые коды прямо в момент ввода

изображение: recraft

Операторы фишинга как услуги в китайском киберподполье перешли на перехват данных в реальном времени — логин, пароль и OTP жертвы попадают в панель атакующего сразу после ввода. Google Threat Intelligence Group насчитала минимум 12 активных PhaaS-предложений в этом сегменте, и почти все они маскируются под некитайские бренды, работая на зарубежных пользователей. Старая модель со статичной поддельной страницей входа уступает место связке из зашифрованных каналов доставки и ИИ-генерации сайтов.

Иск Google против группы, использовавшей SMS-набор Lighthouse, поданный в ноябре 2025 года, оказался лишь верхушкой рынка. За ним стоит целая индустрия с собственными панелями управления, шаблонами и сервисной поддержкой для клиентов.

Русскоязычные фишинговые площадки обычно бьют по клиентам конкретных крупных организаций, а китайские платформы охватывают массовую аудиторию. Чаще других под удар попадают пользователи из нескольких регионов с развитой платёжной средой:

  • Япония;
  • США;
  • Австралия;
  • Гонконг;
  • Объединённые Арабские Эмираты.

Для злоумышленников это рынки с высокой платёжной активностью, развитой банковской системой и большим числом владельцев цифровых кошельков.

Любопытно, что почти ни один бренд, под которые маскируются эти сервисы, не относится к Китаю — операторы сознательно уводят атаки за пределы страны.

Поменялись и каналы доставки сообщений. Вместо привычных SMS китайские группы перешли на RCS и Apple iMessage. Причин несколько:

  • сквозное шифрование мешает фильтровать сообщения на уровне инфраструктуры;
  • медиафайлы делают подделку правдоподобнее;
  • индикаторы набора текста и отметки о прочтении создают ощущение живого диалога;
  • богатое оформление снижает настороженность получателя.

Самое заметное изменение — кража учётных данных в момент ввода. Жертва набирает логин и пароль на фальшивой странице, и они мгновенно отображаются у атакующего. Дальше тот сразу запрашивает у настоящего сервиса одноразовый код и ждёт, пока пользователь введёт OTP в поддельную форму.

Такой механизм пробивает многофакторную аутентификацию, которая раньше считалась серьёзным барьером. Если оператор работает быстро, он успевает применить перехваченный код до его истечения. MFA перестаёт защищать, когда человек сам вводит код в чужую форму.

Отдельная линия заработка завязана на цифровых кошельках. С украденными данными и кодами атакующие добавляют чужие платёжные карты в кошельки на своих устройствах, а затем:

  • проводят крупные транзакции;
  • расплачиваются бесконтактно в магазинах;
  • снимают наличные через банкоматы.

Часть платформ продаёт шаблоны для атак на брокерские сервисы. Они помогают перехватывать инвестиционные аккаунты, выводить чужие средства и вмешиваться в операции с ценными бумагами. Фишинг выходит далеко за рамки кражи пароля от почты или банковского приложения.

Растёт и роль ИИ. Платформа Darcula PhaaS, связанная с преступником под обозначением UNC5814, отказалась от статичных шаблонов в пользу ИИ-генераторов фишинговых страниц. Эти инструменты клонируют легитимные сайты, перенося HTML, CSS, JavaScript и визуальные элементы оригинала.

Отмечается, что каждая сгенерированная страница получается уникальной, и сигнатурные методы обнаружения теряют эффективность — защитным системам трудно распознать шаблон, который постоянно слегка меняется.

Для пользователя такие копии выглядят почти неотличимо от настоящего ресурса.

Ранее сообщалось, что китайская группировка Webworm, она же Space Pirates и UAT-8302, сместила активность из Азии в Европу. Атаки зафиксировали против госструктур Бельгии, Италии, Польши, Сербии и Испании, а также против университета в ЮАР. Операторы превращали в инфраструктуру для шпионажа обычные сервисы — Discord, GitHub, Microsoft Graph API и облачные платформы.

Эксперты редакции CISOCLUB считают, что переход китайских PhaaS-платформ на перехват данных в реальном времени меняет правила игры для рядовых пользователей. Многофакторная аутентификация через одноразовые коды больше не выглядит надёжной опорой — её обходят, пока жертва сама вводит цифры в поддельное окно.

Куда устойчивее аппаратные ключи и passkey, которые невозможно перехватить простым вводом. ИИ-генерация страниц обесценивает сигнатурное обнаружение, поэтому ставку стоит делать на поведенческий анализ и контроль доменов. Бизнесу из атакуемых регионов имеет смысл заранее проверить, как защищены сценарии добавления карт в цифровые кошельки. Базовое правило остаётся прежним — не переходить по ссылкам из сообщений и вводить данные только на сайтах, открытых вручную.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: