Смишинг атакует правительственные порталы оплаты в 19 странах

Smishing-кампания атаковала government payment portals в 19 странах

Комплексное расследование выявило масштабную операцию smishing, нацеленную на различные government payment portals в 19 странах, включая Romania, United Kingdom, USA, Greece и Bulgaria. Кампания привлекла внимание после сообщений о мошеннических SMS, имитирующих official Romanian payment platform Ghișeul.ro в мае 2026 года, и, по данным расследователей, была выстроена как transborder phishing operation, ориентированная прежде всего на кражу confidential information у пользователей.

Масштаб и инфраструктура кампании

Одним из ключевых результатов расследования стало обнаружение 1 628 malicious URLs, связанных с операцией. Все они имели общий metadata hash, что значительно облегчило отслеживание активности across multiple sectors.

Атака опиралась на distributed backend infrastructure, включавшую 32 unique IP addresses, полученных от крупных cloud providers, среди которых:

• Tencent Cloud;
• Alibaba Cloud;
• Cloudflare.

Каждый provider обслуживал отдельные domains, что усложняло identification и затрудняло blocking efforts.

Фишинговые шаблоны и обман пользователей

Примечательно, что кампания использовала два phishing templates, разработанных на Vue.js и Bootstrap. Это позволяло злоумышленникам создавать убедительные копии legitimate websites, в частности Ghișeul.ro, чтобы вводить пользователей в заблуждение.

Анализ linguistic patterns и domain enumeration показал намеренное применение tactics of typosquatting — использование вариаций original domain name для эксплуатации пользователей, которые по ошибке вводили legitimate URL.

Злоумышленники делали ставку на убедительность поддельных страниц и доверие к официальной государственной коммуникации.

Социальная инженерия через SMS

Кампания активно использовала urgency, связанную с government notifications. В SMS-сообщениях часто утверждалось о неоплаченных штрафах или payment obligations, что должно было вызывать панику у жертв и подталкивать их к немедленным действиям.

Злоумышленники распространяли сообщения, требующие immediate action, опираясь на authenticity имитируемых brands. При этом доменные имена они физически не подделывали, а вместо этого продвигали мошеннические ссылки, ведущие на сайты, предназначенные для сбора personal and financial data.

Устойчивость и распределение по регионам

Выводы расследования также подчеркивают operational resilience smishing-инфраструктуры. Она была методично распределена по нескольким geographic regions, что повышало отказоустойчивость и усложняло меры противодействия.

Кроме того, злоумышленники занимались continuous domain registration, что дополнительно осложняло защиту и блокировку связанных ресурсов.

Ошибка, которая может помочь defense teams

При всей сложности операции расследователи отметили существенную ошибку: единый 128-character hash использовался во всех phishing URLs. Именно этот признак может стать ценным индикатором для security teams и помочь в обнаружении активных malicious URLs.

Рекомендации по защите

Для пользователей и организаций, которые могут столкнуться с подобными кампаниями, были предложены меры mitigation:

• тщательно проверять URL-адреса перед переходом;
• сохранять осторожность при получении government messages через SMS;
• не переходить по ссылкам, если они содержат запросы personal data или payment links;
• при анализе инцидентов отслеживать общий metadata hash как primary indicator of compromise.

По оценке расследователей, такой подход способен дать представление об active malicious URLs, связанных с кампанией, и помочь быстрее локализовать угрозу.