Смишинг USPS: кража карт через живой поток данных

Smishing-кампания под видом USPS использует легитимную инфраструктуру и потоковый сбор данных

Недавний анализ smishing-кампании, имитирующей Почтовую службу США (USPS), показал, что киберпреступники используют заметно более сложные технические методы, чем в типичных фишинговых операциях. Атака распространяется через SMS-сообщения с поддельным уведомлением о доставке посылки и ведет жертву на фальшивую страницу, где начинается сбор персональных данных и платежной информации.

Особую опасность этой схемы придает то, что злоумышленники задействуют легитимные ресурсы USPS — включая HTML, CSS, изображения и теги Google Analytics, связанные с реальной маркетинговой инфраструктурой компании. Такая маскировка повышает доверие к странице и усложняет обнаружение кампании.

Как работает атака

По данным анализа, фишинговый набор организован так, чтобы в реальном времени перехватывать вводимые пользователем данные. Для этого он открывает WebSocket-соединение обратно на сервер злоумышленников, что позволяет мгновенно передавать нажатия клавиш и данные банковской карты.

Дополнительно backend выполняет серверную проверку Bank Identification Number (BIN) для введенной информации о карте. Это повышает эффективность атаки: киберпреступники быстрее отсекают заведомо невалидные данные и сосредотачиваются на действительно полезной информации.

• SMS-уведомление маскируется под сообщение о доставке USPS;
• используются элементы легитимной инфраструктуры USPS;
• данные передаются на сервер в реальном времени через WebSocket;
• выполняется серверная проверка BIN;
• история ввода карт сохраняется, чтобы подтолкнуть жертву к повторной попытке.

Инфраструктура кампании

Фреймворк, лежащий в основе операции, построен вокруг одного домена, который сгенерировал более сотни поддоменов. Пассивные данные DNS из Censys показали структурный характер этой кампании: основной хост разрешается в 682 уникальных похожих имени хоста.

При этом многие домены демонстрируют общие признаки, включая одинаковые имена cookie-файлов с темой us_post_ups. Это указывает на единый операционный фреймворк, используемый в нескольких связанных кампаниях.

«Структурные элементы инфраструктуры остаются неизменными, даже когда конкретные домены и IP-адреса быстро выводятся из эксплуатации».

Параллельные кампании и признаки единого оператора

Исследование также выявило параллельные кампании, нацеленные на UPS. В них применялась другая backend-технология — Java/Spring Boot, однако базовая схема атаки оставалась прежней. Это свидетельствует о последовательной операционной модели, характерной для одного и того же злоумышленника или устойчивой группы.

Фишинговый процесс начинается с поддельной страницы проверки Cloudflare, представленной на нескольких языках. Такой прием повышает доверие со стороны потенциальной жертвы и снижает вероятность немедленного распознавания мошенничества.

После ввода данных набор сохраняет историю попыток заполнения формы с банковскими картами. Если первая попытка оказывается неудачной, жертве показывается сообщение об отказе, что побуждает ввести дополнительные данные. В результате формируется непрерывный канал извлечения информации, связанный с сервером киберпреступников.

Атрибуция и возможные связи

Атрибуция этой активности указывает на более широкую экосистему, часто ассоциируемую с китайским языковым контентом и стилями операций в smishing-кампаниях. Набор признаков соответствует тому, что исследователи называют Smishing Triad.

Прямых доказательств, связывающих этот кластер с конкретными предыдущими инцидентами, не обнаружено. Однако двуязычные внутренние конфигурации и инфраструктура, размещенная через Tencent, указывают на хорошо организованную и устойчивую реализацию.

Что это значит для защиты

Ключевая особенность подобных кампаний — быстрая ротация оперативной инфраструктуры. Домены, поддомены и IP-адреса меняются, но структурные шаблоны — названия cookie, пути к ресурсам и логика фишингового набора — сохраняются.

Именно поэтому аналитики рекомендуют ориентироваться не на отдельные домены, а на структурные элементы наборов инструментов. Это повышает вероятность обнаружения даже при постоянной смене сетевой инфраструктуры.

• использовать детектирование по шаблонам, а не только по доменам и IP;
• вести непрерывный мониторинг DNS-history;
• учитывать повторяющиеся cookie-названия и пути к ресурсам;
• анализировать многослойные признаки инфраструктуры, а не единичные индикаторы компрометации.

Таким образом, исследование подчеркивает необходимость усиления защиты против одноразовых фишинговых схем, которые сочетают социальную инженерию, легитимные ресурсы и технически продвинутые механизмы перехвата данных в реальном времени.