Кар­динг — тем­ное ремес­ло похище­ния, про­дажи и про­кач­ки ворован­ных пла­теж­ных карт — годами был вот­чиной рус­ских хакеров. Мас­совый переход США на чипован­ные кар­ты под­рубил этот биз­нес под корень. Но китай­ские кибер­прес­тупни­ки не дрем­лют: их све­жие схе­мы дают индус­трии вто­рое дыхание. Теперь укра­ден­ные дан­ные карт прев­раща­ются в мобиль­ные кошель­ки, с которы­ми мож­но шопить­ся не толь­ко онлайн, но и в обыч­ных магази­нах.

От редакции

Мы решили в качес­тве экспе­римен­та начать зна­комить читате­лей с луч­шими мировы­ми иссле­дова­ниями. Далее — близ­кий к тек­сту перес­каз пос­та из бло­га Брай­ана Креб­са. Эта пуб­ликация дос­тупна без плат­ной под­писки.

Поч­ти каж­дый аме­рика­нец за пос­ледние пару лет ловил хотя бы одно фишин­говое сооб­щение. То «Поч­та США» сроч­но тре­бует доп­латить за дос­тавку, то «мес­тный опе­ратор плат­ных дорог» гро­зит штра­фом за неоп­лачен­ный про­езд.

Эти сооб­щения рас­сыла­ются с помощью прод­винутых фишинг‑китов, которы­ми барыжат кибер­прес­тупни­ки с матери­ково­го Китая. Но это не прос­то стан­дар­тный «сми­шинг» через SMS — они вооб­ще обхо­дят мобиль­ные сети сто­роной. Вмес­то это­го ата­ки идут через iMessage на айфо­нах и RCS — на Android.

Фишинг-киты в продаже
Фи­шинг‑киты в про­даже

Ес­ли жер­тва вве­дет дан­ные кар­ты на таком фей­ковом сай­те, ее убе­дят, что банк хочет про­верить кро­шеч­ный пла­теж, высылая одно­разо­вый код. На самом деле этот код при­ходит не прос­то так — банк под­твержда­ет при­вяз­ку кар­ты к мобиль­ному кошель­ку. То есть жер­тва сво­ими руками отда­ет мошен­никам клю­чи от сво­его сей­фа.

Ес­ли жер­тва ведет­ся и вво­дит код, фишеры мгно­вен­но при­вязы­вают кар­ту к новому мобиль­ному кошель­ку Apple или Google, который тут же заг­ружа­ют на свой девайс. Теперь у них в руках пол­ностью рабочая циф­ровая копия кар­ты, готовая к шопин­гу.

 

Кардинг 2.0

Форд Мер­рилл, спе­циалист по безопас­ности из SecAlliance (доч­ка CSIS Security Group), уже дав­но копа­ет тему китай­ских «сми­шеров» и наб­люда­ет за их эво­люци­ей. Инте­рес­ный факт: боль­шинс­тво этих груп­пировок в сво­их Telegram-каналах вык­ладыва­ют обу­чающие видео, где деталь­но показы­вают, как заг­ружать на один телефон кучу ворован­ных циф­ровых кошель­ков. Потом такие «заряжен­ные» смар­тфо­ны про­дают­ся оптом по нес­коль­ко сотен бак­сов за шту­ку.

«Кто ска­зал, что кар­динг умер? — зада­ется воп­росом Мер­рилл. — Это луч­ший кло­нер маг­нитных полос за всю исто­рию! Про­дав­цы тре­буют, что­бы покупа­тель брал минимум десять телефо­нов, и готовы отгру­жать их ави­адос­тавкой».

В одном из рек­ламных видео мож­но наб­людать целые шта­беля ящи­ков, набитых телефо­нами на про­дажу. Если приг­лядеть­ся, на каж­дом аппа­рате есть нак­лей­ка с караку­лями: дата заг­рузки кошель­ков, их количес­тво и ини­циалы про­дав­ца. Нас­тоящий кар­динг‑кон­вей­ер в дей­ствии.

Телефоны с заряженными кошельками
Те­лефо­ны с заряжен­ными кошель­ками

Мер­рилл рас­ска­зыва­ет, что китай­ские кар­деры обна­личи­вают укра­ден­ные мобиль­ные кошель­ки через фей­ковые онлайн‑магази­ны, зарегис­три­рован­ные на Stripe или Zelle. Схе­ма прос­тая: про­гоня­ют тран­закции на сум­мы от 100 до 500 дол­ларов, и день­ги плав­но перете­кают в их кар­маны.

Мер­рилл отме­чает, что, ког­да эти фишин­говые бан­ды толь­ко начина­ли активни­чать пару лет назад, они выжида­ли по 60–90 дней перед тем, как сли­вать телефо­ны или исполь­зовать их в мошен­ничес­тве. Теперь же сро­ки сжа­лись до недели‑двух — обо­роты рас­тут, и ник­то не хочет ждать.

«Сна­чала эти ребята игра­ли вдол­гую, — говорит Мер­рилл. — А теперь все ина­че: про­ходит мак­симум десять дней, и кошель­ки начина­ют жес­тко про­качи­вать».

 

Призрачный тап

Еще один спо­соб обна­лич­ки — реаль­ные POS-тер­миналы. Мошен­ники прос­то про­каты­вают ворован­ные мобиль­ные кошель­ки через Tap to Pay, один за дру­гим. Но есть и кое‑что поин­терес­нее: Мер­рилл выяс­нил, что одна из китай­ских фишин­говых банд тол­кает Android-при­ложе­ние под наз­вани­ем ZNFC. Эта шту­ка уме­ет пересы­лать легитим­ные NFC-тран­закции в любую точ­ку мира. Все, что нуж­но, — под­нести телефон к мес­тно­му тер­миналу, который при­нима­ет Apple Pay или Google Pay, а даль­ше при­ложе­ние передаст пла­теж­ку через интернет с устрой­ства, нап­ример, в Китае (есть ви­део с демонс­тра­цией).

«Этот софт работа­ет отку­да угод­но, — объ­ясня­ет Мер­рилл. — За 500 бак­сов в месяц они про­дают дос­туп к прог­рамме, которая может рет­ран­сли­ровать как NFC-пла­тежи, так и любые циф­ровые кошель­ки. И да, у них даже круг­лосуточ­ная тех­поддер­жка!»

По­явле­ние мобиль­ного соф­та для так называ­емо­го приз­рачно­го тапа впер­вые за­фик­сирова­ли экспер­ты ThreatFabric в нояб­ре 2024 года. По сло­вам ком­мерчес­кого дирек­тора ком­пании Энди Чан­дле­ра, с тех пор их ана­лити­ки обна­ружи­ли, что целый ряд прес­тупных груп­пировок из раз­ных угол­ков мира под­хва­тили эту схе­му.

Чан­длер отме­чает, что сре­ди новых игро­ков — орга­низо­ван­ные прес­тупные груп­пы из Евро­пы. Они исполь­зуют похожие ата­ки на мобиль­ные кошель­ки и NFC, но их цель — бан­коматы, под­держи­вающие сня­тие денег со смар­тфо­нов.

«Об этом ник­то не говорит, но мы уже нас­читали десять раз­ных схем с одним и тем же прин­ципом работы, и каж­дая из них по‑сво­ему уни­каль­на, — говорит Чан­длер. — Мас­шта­бы гораз­до боль­ше, чем бан­ки готовы приз­нать».

В нояб­ре 2024 года The Straits Times из Син­гапура со­общи­ла о задер­жании трех инос­тран­ных граж­дан, которых завер­бовали через соц­сети. Им выдали «приз­рачные» тап‑при­ложе­ния и отпра­вили на шопинг за дороги­ми товара­ми.

С 4 нояб­ря как минимум десять жертв мошен­ников заяви­ли о несан­кци­они­рован­ных тран­закци­ях на сум­му более 100 тысяч дол­ларов. День­ги ушли на покуп­ку айфо­нов, зарядок и юве­лир­ки в Син­гапуре, писала The Straits Times. В дру­гом слу­чае с ана­логич­ной схе­мой 8 нояб­ря полиция задер­жала малай­зийскую пару.

Задержание преступников в Сингапуре
За­дер­жание прес­тупни­ков в Син­гапуре
 

Продвинутые фишинговые техники

По сло­вам Мер­рилла, фей­ковые стра­ницы поч­ты США и опе­рато­ров плат­ных дорог осна­щены рядом хит­роум­ных новов­ведений, заточен­ных на выжима­ние мак­симума дан­ных из жер­твы.

Нап­ример, жер­тва может начать вво­дить свои лич­ные и финан­совые дан­ные, но в пос­ледний момент заподоз­рить под­вох и переду­мать. Одна­ко это не спа­сет ее — все, что она набира­ет в полях фор­мы, уте­кает мошен­никам в реаль­ном вре­мени, даже если она так и не наж­мет завет­ную кноп­ку «Отпра­вить».

Мер­рилл отме­чает, что пос­ле вво­да дан­ных кар­ты жер­тве час­то показы­вают сооб­щение о том, что пла­теж не про­шел, и пред­лага­ют поп­робовать дру­гую кар­ту. Этот трюк неред­ко поз­воля­ет мошен­никам украсть не один, а сра­зу нес­коль­ко мобиль­ных кошель­ков у одно­го челове­ка.

Обыч­но фишин­говые сай­ты хра­нят ворован­ные дан­ные пря­мо у себя, из‑за чего их мож­но слить вмес­те с доменом. Но китай­ские киты работа­ют ина­че: вся инфа сра­зу уле­тает на бэкенд, который кон­тро­лиру­ют сами про­дав­цы этих фишин­говых инс­тру­мен­тов. Так что, даже если один из сай­тов прик­роют за мошен­ничес­тво, укра­ден­ные дан­ные оста­нут­ся в целос­ти и сох­раннос­ти.

Еще одна фиш­ка — мас­совая генера­ция уче­ток Apple и Google, через которые мошен­ники рас­сыла­ют свои спам‑сооб­щения. В одном из Telegram-каналов китай­ские фишеры даже запос­тили фото сво­его «фер­мер­ско­го» сетапа: десят­ки телефо­нов, забитых бот‑акка­унта­ми, акку­рат­но рас­став­лены на мно­гоярус­ной стой­ке, а нап­ротив — опе­ратор всей этой фишин­говой фаб­рики.

Рыбалка в разгаре
Ры­бал­ка в раз­гаре

За работой этих фишин­говых сай­тов сто­ят живые люди, которые заняты делом, пока рас­сыла­ются новые сооб­щения. По сло­вам Мер­рилла, мошен­ники шлют все­го по нес­коль­ко десят­ков SMS за раз, потому что даль­ше им самим при­ходит­ся вруч­ную доводить каж­дую жер­тву до финала. Ведь одно­разо­вые коды для при­вяз­ки карт к мобиль­ным кошель­кам работа­ют все­го пару минут, так что дей­ство­вать нуж­но быс­тро.

Лю­бопыт­ная деталь: фей­ковые сай­ты поч­ты и плат­ных дорог вооб­ще не откры­вают­ся в обыч­ном бра­узе­ре. Они заг­ружа­ются, толь­ко если опре­делить, что жер­тва заш­ла с мобиль­ного устрой­ства.

«Им важ­но, что­бы жер­тва заходи­ла имен­но с телефо­на, — объ­ясня­ет Мер­рилл. — Так они гаран­тиру­ют, что одно­разо­вый код при­дет на то же устрой­ство, а не на какой‑нибудь дру­гой гад­жет. Плюс так мень­ше шан­сов, что человек переду­мает и уйдет. А что­бы опе­ратив­но под­хва­тить этот код и акти­виро­вать мобиль­ный кошелек, нужен живой опе­ратор».

Мер­рилл обна­ружил еще один ковар­ный апгрейд в китай­ских фишин­говых китах — они авто­мати­чес­ки прев­раща­ют укра­ден­ные дан­ные карт в циф­ровые копии нас­тоящих. Сис­тема генери­рует изоб­ражение кар­ты с пра­виль­ным дизай­ном, соот­ветс­тву­ющим бан­ку жер­твы. В ито­ге при­вязать ворован­ную кар­ту к Apple Pay ста­новит­ся эле­мен­тарно — дос­таточ­но прос­то отска­ниро­вать под­делку камерой айфо­на.

В Telegram-канале одной из китай­ских фишин­говых групп мож­но най­ти рек­ламу их сер­виса, где наг­лядно показа­но, как укра­ден­ные дан­ные карт прев­раща­ются в реалис­тичные изоб­ражения самих карт.

Реклама фишинг-кита демонстрирует, как данные превращаются в карточку
Рек­лама фишинг‑кита демонс­три­рует, как дан­ные прев­раща­ются в кар­точку

«Телефон не отли­чает реаль­ную кар­ту от кар­тинки, — пояс­няет Мер­рилл. — Он прос­то ска­ниру­ет изоб­ражение в Apple Pay, который затем говорит: „Окей, теперь под­твер­дите, что кар­та ваша“, — и шлет одно­разо­вый код».

 

Профит

Нас­коль­ко при­быль­ны эти мобиль­ные фишин­говые киты? Луч­шие догад­ки пока что исхо­дят от дру­гих иссле­дова­телей кибер­безопас­ности, которые уже дав­но сле­дят за китай­ски­ми фишера­ми и их прод­винуты­ми схе­мами.

В августе 2023 года спе­циалис­ты Resecurity рас­копали уяз­вимость в плат­форме одно­го из популяр­ных китай­ских фишин­говых сер­висов. Она слу­чай­но откры­ла дос­туп к лич­ным и финан­совым дан­ным жертв. Иссле­дова­тели наз­вали эту груп­пиров­ку Smishing Triad и выяс­нили, что за вре­мя работы она соб­рала 108 044 пла­теж­ные кар­ты через 31 фишин­говый домен — в сред­нем 3485 карт на каж­дый сайт.

В августе 2024 года иссле­дова­тель безопас­ности Грант Смит выс­тупил на DEFCON, рас­ска­зав, как он вышел на Smishing Triad пос­ле того, как мошен­ники, при­кинув­шиеся поч­той США, раз­вели его жену. Най­дя дру­гую уяз­вимость в их фишин­говом ките, Смит смог уви­деть, что через 1133 фей­ковых сай­та прош­ло 438 669 уни­каль­ных кре­дит­ных карт — в сред­нем 387 карт на домен.

По рас­четам Мер­рилла, каж­дая кар­та, прев­ращен­ная в мобиль­ный кошелек, при­носит от 100 до 500 дол­ларов ущер­ба для жер­твы. За год, про­шед­ший меж­ду отче­том Resecurity и док­ладом Сми­та на DEFCON, иссле­дова­тели зафик­сирова­ли поч­ти 33 тысячи уни­каль­ных доменов, свя­зан­ных с китай­ски­ми «сми­шера­ми».

Ес­ли взять сред­нее — 1935 карт на домен — и минималь­ные потери в 250 дол­ларов США на кар­ту, выходит, что за год эта схе­ма при­нес­ла мошен­никам око­ло 15 мил­лиар­дов дол­ларов в виде фей­ковых тран­закций.

Мер­рилл не спе­шит рас­кры­вать, нашел ли он новые уяз­вимос­ти в фишин­говых китах, про­дава­емых китай­ски­ми груп­пами. Он отме­тил, что пос­ле пуб­ликации статьи мошен­ники опе­ратив­но залата­ли все разоб­лачен­ные дыры.

 

Ответный удар

Бес­контак­тные пла­тежи в США взле­тели пос­ле пан­демии, и бан­ки пос­пешили упростить про­цесс при­вяз­ки карт к мобиль­ным кошель­кам. В ито­ге основным методом про­вер­ки лич­ности стал одно­разо­вый код по SMS — что, как теперь ясно, сыг­рало мошен­никам на руку.

Эк­спер­ты уве­рены: зависи­мость бан­ков от одно­разо­вых кодов при при­вяз­ке карт к мобиль­ным кошель­кам под­питыва­ет новую вол­ну кар­динга. Krebs on Security пооб­щался с топ‑менед­жером круп­ного евро­пей­ско­го бан­ка (сот­рудник сог­ласил­ся говорить толь­ко на усло­виях ано­ним­ности — офи­циаль­но ком­менти­ровать тему ему зап­ретили).

По сло­вам это­го экспер­та, задер­жка меж­ду кра­жей дан­ных кар­ты и ее исполь­зовани­ем в мошен­ничес­ких схе­мах силь­но зат­рудня­ет бан­кам поиск пер­вопри­чины уте­чек. Мно­гие прос­то не могут свя­зать фишин­говые ата­ки с пос­леду­ющи­ми потеря­ми.

«Имен­но поэто­му индус­трия ока­залась зас­тигну­та врас­плох, — говорит эксперт. — Мно­гие недо­уме­вают: как такое вооб­ще воз­можно, если мы уже токени­зиро­вали про­цесс, который рань­ше был в откры­том виде? Мы никог­да не видели такого мас­шта­ба атак и жалоб со сто­роны жертв, как сей­час с эти­ми фишера­ми».

Что­бы уси­лить безопас­ность при­вяз­ки карт к циф­ровым кошель­кам, некото­рые бан­ки в Евро­пе и Азии тре­буют, что­бы кли­ент сна­чала вошел в свое бан­ков­ское при­ложе­ние, преж­де чем добавить кар­ту на устрой­ство.

Борь­ба с угро­зой «приз­рачно­го тапа» может пот­ребовать обновле­ния POS-тер­миналов, что­бы те научи­лись опре­делять, ког­да NFC-тран­закция идет с под­став­ного устрой­ства. Но экспер­ты сом­нева­ются, что ретей­леры бро­сят­ся менять свое обо­рудо­вание рань­ше, чем оно отра­бота­ет свой срок.

Ну и конеч­но, Apple и Google тоже при­дет­ся взять на себя ответс­твен­ность — ведь их плат­формы исполь­зуют­ся для мас­совой регис­тра­ции ботов, рас­сыла­ющих фишин­говый спам. Ком­пании без тру­да могут отсле­дить устрой­ства, на которые вдруг при­вязы­вают­ся 7–10 мобиль­ных кошель­ков людей с раз­ных кон­цов све­та. Кро­ме того, они мог­ли бы пореко­мен­довать бан­кам перей­ти на более надеж­ные методы аутен­тифика­ции при добав­лении карт в кошель­ки.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии