SecAlliance зафиксировала масштабную кампанию по компрометации до 115 млн платёжных карт в США с участием китайских хакеров

Компания SecAlliance опубликовала отчёт, в котором говорится о беспрецедентной по масштабам кампании мошенничества с платёжными картами, организованной китайскими преступными синдикатами. В документе утверждается, что в период с июля 2023 года по октябрь 2024 года в США могли быть скомпрометированы от 12,7 до 115 миллионов платёжных карт, что привело к многомиллиардным финансовым потерям.

Как указано в отчёте, масштаб операций, их технический уровень и длительность позволяют говорить о смене парадигмы в мошенничестве с картами. В документе подчёркивается, что злоумышленники целенаправленно использовали цифровые кошельки, включая Apple Pay и Google Wallet, чтобы обходить традиционные системы детектирования мошенничества, используя токенизацию и передовые приёмы социальной инженерии.

В отчёте уточняется, что злоумышленники применяли фишинговые атаки через SMS, RCS и iMessage, в том числе с обходом многофакторной аутентификации в режиме реального времени. Эти методы позволяли получить доступ к картам и другим данным жертв без уведомления банков и пользователей.

Исследование, продолжавшееся почти два года, зафиксировало эволюцию мошеннических схем — от примитивных фейков под доставку посылок до платформ «фишинг как услуга» (PaaS), фиктивных интернет-магазинов и захвата брокерских счетов. В отчёте говорится о разработчике, говорящем по-китайски и известном под псевдонимом «Лао Ван», который запустил одну из первых PaaS-платформ, адаптированных под цифровые кошельки.

Особое внимание в отчёте уделено Telegram-каналу «dy-tongbu», созданному в феврале 2023 года. По данным SecAlliance, он используется для распространения фишинговых инструментов. Количество участников канала выросло с 2800 в августе 2023 года до более 4400 к началу 2025 года, что подтверждает растущую активность и вовлечённость киберпреступников.

Эксперты отмечают, что наборы фишинговых страниц, доступные через канал, включают механизмы защиты от анализа и удаления, что делает работу по их нейтрализации значительно сложнее. Также указано, что киберпреступники систематически использовали API Telegram для автоматизации перепродажи данных и повторного использования украденной информации.