СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:38
#ИБ

PayTool: масштабное мошенничество через нежелательные текстовые сообщения в Канаде

PayTool — недавно выявленная хакерская группировка — проводит масштабную кампанию SMS‑мошенничества в Канаде, эволюционируя от стандартных схем к гораздо более правдоподобным локальным уловкам. По оценкам исследователей, атаки становятся всё более изощрёнными и представляют постоянную угрозу для жителей и организаций страны.

Суть угрозы

Атаки PayTool преимущественно осуществляются через незапрашиваемые текстовые сообщения (SMS), в которых получателям сообщают о якобы неоплаченных платежах за проезд или штрафах за парковку. Сообщения подделывают локальные атрибуты — например, используют местный код телефонного номера из провинции Ontario, но одновременно утверждают, что уведомление исходит из British Columbia, или ссылаются на нарушение, якобы зафиксированное в школьной зоне. Такая привязка к знакомой географии повышает вероятность того, что получатель перейдёт по ссылке и совершит дальнейшие действия по указанию мошенников.

Кто стоит за атакой

По доступным данным, кампанию в основном проводят лица, говорящие по‑китайски. Группировка получила условное имя PayTool. Активность исследователей показала, что PayTool использует домены и сайты, специально созданные для поддержки кампании, — их регистрация заметно выросла за последние 12 месяцев, особенно начиная с июля.

Масштаб и динамика

  • Зафиксировано более 900 пострадавших, напрямую связанных с текущей кампанией PayTool;
  • Имеются дополнительные жертвы, предположительно пострадавшие от предыдущих операций, связанных с этой группой;
  • С июля наблюдается резкий всплеск регистрации доменов и увеличения сообщений о мошенничествах через SMS;
  • Появление новых доменов и продолжение рассылок указывают на устойчивый характер угрозы.

Методика атак

Стандартный сценарий выглядит так:

  • Рассылка нежелательных SMS с уведомлением о «неоплаченных платежах» (toll/parking fine) или административных штрафах;
  • Использование локального регионального кода, чтобы сообщение выглядело «своим»;
  • В тексте приводится подробность, повышающая доверие (например, «нарушение скорости в школьной зоне»);
  • В сообщении содержится ссылка на поддельный сайт для «оплаты» — этот сайт работает на домене, зарегистрированном злоумышленниками.

«Тактика PayTool опирается на знакомство с местным контекстом: чем больше в сообщении элементов, которые выглядят правдоподобно для конкретной провинции, тем выше вероятность успешного обмана», — отмечают специалисты.

Риски для организаций и людей

Такие кампании несут ряд опасностей:

  • финансовые потери пострадавших при попытке «оплаты» через фальшивые сайты;
  • утечка персональных данных и данных платёжных карт при вводе информации на поддельных ресурсах;
  • повышенная нагрузка на службы поддержки и службы безопасности организаций из‑за роста инцидентов и обращений;
  • возможность эскалации кампаний и перехода на другие виды мошенничества или фишинга.

Рекомендации по противодействию

Эксперты по кибербезопасности и службы безопасности организаций должны принять проактивные меры для снижения рисков:

  • включить информацию о подобных мошенничествах с трафиком в программы обучения сотрудников по кибербезопасности;
  • обновить процедуры обработки обращений клиентов, чтобы отличать легитимные уведомления от подозрительных SMS;
  • настроить фильтрацию и блокировку массовых рассылок и доменов, связанных с мошенниками;
  • проводить регулярный мониторинг регистрации доменов и появления новых поддельных сайтов, имитирующих службы оплаты;
  • информировать пользователей о признаках мошенничества: неожиданные SMS с требованием оплаты, ссылки на неизвестные домены, несоответствие источника сообщения реальной организации.

Вывод

Кампания PayTool демонстрирует адаптацию мошенников к локальному контексту и нацеленность на повышение правдоподобности сообщений. Резкий рост зарегистрированных доменов и увеличившееся число жалоб указывают на устойчивую и развивающуюся угрозу. Организациям и пользователям важно сохранять бдительность, расширять обучение персонала и оперативно реагировать на новые инциденты, чтобы минимизировать ущерб.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: