- Специальный корреспондент
Как преступники манипулируют ценными бумагами, оставаясь при этом в тени.
Группы злоумышленников, специализирующиеся на мобильном фишинге, нашли новый способ извлекать прибыль из похищенных учётных данных. Если ранее они концентрировались на переводе украденных карт в цифровые кошельки и их последующей продаже для мошеннических операций, то теперь внимание сместилось на брокерские сервисы.
Исследователи из SecAlliance так называемых схем «ramp and dump», когда захваченные аккаунты инвесторов используются для разгона стоимости акций и последующей продажи по завышенной цене. Механика этих атак во многом повторяет традиционные манипуляции , но без необходимости создавать ажиотаж в социальных сетях.
Сценарий прост: преступники заранее скупают бумаги выбранной компании, а затем через множество захваченных аккаунтов брокеров резко увеличивают объём торгов. Это толкает цену вверх, и в нужный момент они избавляются от активов, фиксируя прибыль. Владельцы взломанных учётных записей, тем временем, остаются с обесцененными акциями, а брокерские платформы вынуждены разбираться с ущербом и недовольством клиентов. В феврале 2025 года ФБР уже объявляло о поиске пострадавших от таких махинаций.
По данным SecAlliance, значительная часть инфраструктуры атаки формируется в китайскоязычном сегменте Telegram, где открыто продаются готовые комплекты для мобильного фишинга. Эти наборы позволяют подделывать SMS и сообщения в iMessage или RCS, имитируя уведомления известных брокеров. Жертв убеждают в том, что их аккаунт заморожен из-за подозрительной активности, и просят срочно подтвердить данные, перейдя по ссылке. Попав на фальшивую страницу, пользователь вводит логин, пароль и одноразовый код подтверждения, после чего доступ к счёту переходит к атакующим.
Истоки этого движения уходят к 2022–2024 годам, когда преступники фишинговые SMS якобы от почтовых служб или дорожных операторов США. Тогда цель состояла в том, чтобы через код подтверждения добавить карту жертвы в мобильный кошелёк на телефоне злоумышленника. , содержащие десятки привязанных карт, продавались оптом и использовались для бесконтактных покупок и интернет-мошенничества.
Слабым местом оказалась одноразовая SMS-аутентификация, которую преступники легко перехватывали. Сегодня многие банки ужесточили процесс подключения карт, требуя подтверждения через мобильное приложение, однако это только подтолкнуло злоумышленников к поиску новых целей — и ими стали брокерские сервисы.
Особую известность в сообществе получила разработчица фишинг-китов под псевдонимом Outsider (ранее Chenlun), чьи продукты позволяют подстраивать шаблоны под различные торговые площадки. В демо-роликах на её каналах показано, как инструменты имитируют интерфейсы Charles Schwab, но при желании могут адаптироваться и под других игроков рынка.
Уязвимость здесь кроется в том, что многие брокеры до сих пор используют SMS- или голосовые коды для двухфакторной защиты, что делает их уязвимыми для атак подобного рода. В отличие от Schwab или Fidelity, где код может приходить через разные каналы, только внедрение аппаратных ключей безопасности по стандарту U2F, как у Vanguard, действительно закрывает возможность фишинга.
Риск усугубляется тем, что за распространением и эксплуатацией этих инструментов стоят целые группы, применяющие элементы автоматизации и искусственный интеллект для ускоренной разработки фишинг-наборов. По словам исследователей, такие разработчики активно используют большие языковые модели для перевода, генерации интерфейсов и упрощения программирования. Это снижает порог входа для новых игроков и ускоряет появление всё более сложных атак.
Главная опасность схемы «ramp and dump» в том, что она почти не оставляет следов, связывающих преступников с операциями. Они могут держать легальные счета на азиатских биржах, а рост цены акций будет выглядеть как обычный рыночный всплеск. В результате страдают инвесторы, чьи аккаунты были скомпрометированы, и сами брокерские компании, вынужденные противостоять новой волне мошенничества, которое сочетает социальную инженерию, технические уловки и слабые места в системах многофакторной защиты.
Группы злоумышленников, специализирующиеся на мобильном фишинге, нашли новый способ извлекать прибыль из похищенных учётных данных. Если ранее они концентрировались на переводе украденных карт в цифровые кошельки и их последующей продаже для мошеннических операций, то теперь внимание сместилось на брокерские сервисы.
Исследователи из SecAlliance так называемых схем «ramp and dump», когда захваченные аккаунты инвесторов используются для разгона стоимости акций и последующей продажи по завышенной цене. Механика этих атак во многом повторяет традиционные манипуляции , но без необходимости создавать ажиотаж в социальных сетях.
Сценарий прост: преступники заранее скупают бумаги выбранной компании, а затем через множество захваченных аккаунтов брокеров резко увеличивают объём торгов. Это толкает цену вверх, и в нужный момент они избавляются от активов, фиксируя прибыль. Владельцы взломанных учётных записей, тем временем, остаются с обесцененными акциями, а брокерские платформы вынуждены разбираться с ущербом и недовольством клиентов. В феврале 2025 года ФБР уже объявляло о поиске пострадавших от таких махинаций.
По данным SecAlliance, значительная часть инфраструктуры атаки формируется в китайскоязычном сегменте Telegram, где открыто продаются готовые комплекты для мобильного фишинга. Эти наборы позволяют подделывать SMS и сообщения в iMessage или RCS, имитируя уведомления известных брокеров. Жертв убеждают в том, что их аккаунт заморожен из-за подозрительной активности, и просят срочно подтвердить данные, перейдя по ссылке. Попав на фальшивую страницу, пользователь вводит логин, пароль и одноразовый код подтверждения, после чего доступ к счёту переходит к атакующим.
Истоки этого движения уходят к 2022–2024 годам, когда преступники фишинговые SMS якобы от почтовых служб или дорожных операторов США. Тогда цель состояла в том, чтобы через код подтверждения добавить карту жертвы в мобильный кошелёк на телефоне злоумышленника. , содержащие десятки привязанных карт, продавались оптом и использовались для бесконтактных покупок и интернет-мошенничества.
Слабым местом оказалась одноразовая SMS-аутентификация, которую преступники легко перехватывали. Сегодня многие банки ужесточили процесс подключения карт, требуя подтверждения через мобильное приложение, однако это только подтолкнуло злоумышленников к поиску новых целей — и ими стали брокерские сервисы.
Особую известность в сообществе получила разработчица фишинг-китов под псевдонимом Outsider (ранее Chenlun), чьи продукты позволяют подстраивать шаблоны под различные торговые площадки. В демо-роликах на её каналах показано, как инструменты имитируют интерфейсы Charles Schwab, но при желании могут адаптироваться и под других игроков рынка.
Уязвимость здесь кроется в том, что многие брокеры до сих пор используют SMS- или голосовые коды для двухфакторной защиты, что делает их уязвимыми для атак подобного рода. В отличие от Schwab или Fidelity, где код может приходить через разные каналы, только внедрение аппаратных ключей безопасности по стандарту U2F, как у Vanguard, действительно закрывает возможность фишинга.
Риск усугубляется тем, что за распространением и эксплуатацией этих инструментов стоят целые группы, применяющие элементы автоматизации и искусственный интеллект для ускоренной разработки фишинг-наборов. По словам исследователей, такие разработчики активно используют большие языковые модели для перевода, генерации интерфейсов и упрощения программирования. Это снижает порог входа для новых игроков и ускоряет появление всё более сложных атак.
Главная опасность схемы «ramp and dump» в том, что она почти не оставляет следов, связывающих преступников с операциями. Они могут держать легальные счета на азиатских биржах, а рост цены акций будет выглядеть как обычный рыночный всплеск. В результате страдают инвесторы, чьи аккаунты были скомпрометированы, и сами брокерские компании, вынужденные противостоять новой волне мошенничества, которое сочетает социальную инженерию, технические уловки и слабые места в системах многофакторной защиты.
