С середины октября 2024 года в США наблюдается массовая смс-фишинг-кампания, нацеленная на пользователей платных дорог с целью финансового мошенничества. Основные регионы, подвергшиеся атаке, включают Вашингтон, Флориду, Пенсильванию, Виргинию, Техас, Огайо, Иллинойс и Канзас. Мошенники выдают себя за представителей систем электронных платных дорог, таких как E-ZPass, отправляя сообщения о неоплаченных сборах с фальшивыми ссылками.
В этой кампании участвуют несколько групп киберпреступников, мотивированных финансовой выгодой. Они используют смс-фишинговый набор, разработанный Ван Ду Юй, который связан с китайским сервисом смс-фишинга под названием Lighthouse, рекламируемым в Telegram. Используемые наборы, такие как Darcula и Xiū gǒu, применяют схожие тактики для обмана жертв.
Метод атаки включает в себя использование iMessage, который блокирует ссылки от незнакомых отправителей. Жертвы призываются ответить "Y", чтобы активировать ссылки. Клики по таким ссылкам ведут на поддельные страницы, где пользователи сталкиваются с фальшивыми CAPTCHA и просят ввести свои личные данные для доступа к платёжным счетам. Все введённые данные, включая финансовую информацию, становятся доступными мошенникам.
Ван Ду Юй считается создателем смс-фишинговых наборов, используемых Smishing Triad, другой китайской группой киберпреступников. Исследователь безопасности Грант Смит выяснил, что Ван Ду Юй — текущий студент компьютерных наук в Китае, который получает прибыль от продажи этих наборов. Smishing Triad нацелена на почтовые службы в более чем 121 стране, используя обманные схемы с недоставленными посылками. Они также применяют тактики, такие как регистрация данных карт жертв в мобильных кошельках и последующий вывод средств через Ghost Tap.
Коммерциализация смс-фишинговых наборов происходит через Telegram. Ван Ду Юй предлагает доступ к своим наборам по следующим ценам: $50 за полный набор, $30 за прокси-разработку, $20 за обновления и $20 за поддержку. Эта доступность создает благоприятные условия для распространения мошенничества.
С марта 2025 года внимание мошенников сместилось на новый фишинговый набор Lighthouse, нацеленный на банки и финансовые организации в Австралии и Азиатско-Тихоокеанском регионе. Преступники утверждают, что у них есть "300+ сотрудников на передней линии» по всему миру, поддерживающих мошеннические операции.
По данным швейцарской кибербезопасной компании PRODAFT, набор Lighthouse имеет тактические сходства с другими фишинговыми наборами, такими как Lucid и Darcula. Все эти наборы функционируют независимо от группы XinXin, стоящей за Lucid. Ван Ду Юй также отслеживается под именем LARVA-241. Основные особенности включают использование более 60,000 доменных имен для атак, которые сложно заблокировать из-за их масштаба.
Журналист по безопасности Брайан Кребс в январе 2025 года выделил аспекты данной кампании, подчеркивая использование подземных услуг массовой отправки смс для индивидуальной или демографической рассылки мошеннических сообщений.
Таким образом, масштабная смс-фишинг-кампания, исходящая из Китая, нацелена на пользователей платных дорог в США, используя наборы, разработанные Ван Ду Юй, и представляя собой серьезную угрозу для личной и финансовой безопасности.
Изображение носит иллюстративный характер
В этой кампании участвуют несколько групп киберпреступников, мотивированных финансовой выгодой. Они используют смс-фишинговый набор, разработанный Ван Ду Юй, который связан с китайским сервисом смс-фишинга под названием Lighthouse, рекламируемым в Telegram. Используемые наборы, такие как Darcula и Xiū gǒu, применяют схожие тактики для обмана жертв.
Метод атаки включает в себя использование iMessage, который блокирует ссылки от незнакомых отправителей. Жертвы призываются ответить "Y", чтобы активировать ссылки. Клики по таким ссылкам ведут на поддельные страницы, где пользователи сталкиваются с фальшивыми CAPTCHA и просят ввести свои личные данные для доступа к платёжным счетам. Все введённые данные, включая финансовую информацию, становятся доступными мошенникам.
Ван Ду Юй считается создателем смс-фишинговых наборов, используемых Smishing Triad, другой китайской группой киберпреступников. Исследователь безопасности Грант Смит выяснил, что Ван Ду Юй — текущий студент компьютерных наук в Китае, который получает прибыль от продажи этих наборов. Smishing Triad нацелена на почтовые службы в более чем 121 стране, используя обманные схемы с недоставленными посылками. Они также применяют тактики, такие как регистрация данных карт жертв в мобильных кошельках и последующий вывод средств через Ghost Tap.
Коммерциализация смс-фишинговых наборов происходит через Telegram. Ван Ду Юй предлагает доступ к своим наборам по следующим ценам: $50 за полный набор, $30 за прокси-разработку, $20 за обновления и $20 за поддержку. Эта доступность создает благоприятные условия для распространения мошенничества.
С марта 2025 года внимание мошенников сместилось на новый фишинговый набор Lighthouse, нацеленный на банки и финансовые организации в Австралии и Азиатско-Тихоокеанском регионе. Преступники утверждают, что у них есть "300+ сотрудников на передней линии» по всему миру, поддерживающих мошеннические операции.
По данным швейцарской кибербезопасной компании PRODAFT, набор Lighthouse имеет тактические сходства с другими фишинговыми наборами, такими как Lucid и Darcula. Все эти наборы функционируют независимо от группы XinXin, стоящей за Lucid. Ван Ду Юй также отслеживается под именем LARVA-241. Основные особенности включают использование более 60,000 доменных имен для атак, которые сложно заблокировать из-за их масштаба.
Журналист по безопасности Брайан Кребс в январе 2025 года выделил аспекты данной кампании, подчеркивая использование подземных услуг массовой отправки смс для индивидуальной или демографической рассылки мошеннических сообщений.
Таким образом, масштабная смс-фишинг-кампания, исходящая из Китая, нацелена на пользователей платных дорог в США, используя наборы, разработанные Ван Ду Юй, и представляя собой серьезную угрозу для личной и финансовой безопасности.
