Полиция Таиланда сообщает, что обнаружила принадлежавший мошенникам фургон и арестовала его водителя (35-летнего гражданина Китая) за использование устройства для массовой рассылки фишинговых SMS-сообщений. Из этого фургона каждый час рассылали более 100 000 фишинговых SMS, адресованных жителям Бангкока.
Сообщается, что устройство, радиус действия которого оставлял около трех километров, могло рассылать сообщения со скоростью 100 000 каждый час. По данным следствия, за три дня мошенники отправили почти 1 000 000 SMS-сообщений, которые гласили: «Срок действия ваших 9268 баллов истекает! Поспешите воспользоваться подарком прямо сейчас».
Эти сообщения содержали ссылку на фишинговый сайт со строкой «aisthailand» в названии, то есть ресурс выдавали за сайт Advanced Info Service (AIS), крупнейшего оператора мобильной связи в Таиланде.
Пользователи, перешедшие по такой фишинговой ссылке, попадали на страницу, где у них запрашивали информацию о банковской карте. Эти данные в итоге попадали в руки злоумышленников и использовалась для совершения несанкционированных транзакций в других странах.
Сообщается, что специалисты AIS помогли полиции установить местонахождение устройства для массовой рассылки SMS. Однако в операторе связи не разглашают никаких подробностей о том, как именно это было сделано.
Участники мошеннической группы, часть из которых находилась в Таиланде, а часть — в других странах, координировали свои действия через закрытые Telegram-каналы, где также придумывали тексты для мошеннических SMS.
Помимо уже арестованного водителя фургона, в котором размещалось оборудование для массовой рассылки сообщений, полиция разыскивает еще как минимум двух участников группировки.
Подобные атаки возможны благодаря давно известным уязвимостям в стандартах мобильной связи, в частности, существует требование для мобильных устройств, которые обязаны аутентифицировать себя в сетях посредством IMSI, но при этом сети не обязаны аутентифицировать себя в ответ.
В итоге устройства, подключившиеся к фальшивой базовой станции, почти сразу могут получить фишинговое сообщение.
Эмуляторы базовых станций, через которые обычно осуществляется перехват соединений, называют IMSI-перехватчиками (IMSI-catcher) или Stingray. По сути, это устройство, которое маскируется под вышку сотовой связи, заставляя устройства в зоне досягаемости подключаться именно к нему. IMSI-перехватчики нередко используются и самими правоохранительными органами для триангуляции целевых устройств, а иногда и для перехвата их коммуникаций.
Отметим, что похожий случай произошел в декабре 2022 года, когда французская полиция обнаружила IMSI-перехватчик, который женщина возила с собой по Парижу. С помощью этого устройства распространялись сообщения, призывающие парижан делиться своими личными данными на фейковом сайте медицинского страхования. Как выяснилось позже, эта же группировка была связана с еще одним IMSI-перехватчиком, который перевозили по городу в старой машине скорой помощи.
