Исследователи Group-IB раскрыли детали масштабной мошеннической кампании, направленной против пользователей Ближнего Востока и Северной Африки (MENA). Злоумышленники используют поддельные аккаунты Facebook, имитирующие политиков, публичных персон и доверенные организации, чтобы заманивать жертв обещаниями бесплатного мобильного интернета, финансовых компенсаций и государственных субсидий. Вместо обещанных выгод пользователи попадают в многоступенчатую воронку перенаправлений, ведущую к фишинговой инфраструктуре и системам монетизации трафика. Кампания, по данным исследователей, связана с платформой Sniper Dz — сервисом «фишинг как услуга» (PhaaS), который, как сообщается, был ликвидирован в ходе операции под руководством INTERPOL.
Многоступенчатая воронка: от социальной инженерии до монетизации
Отличительная черта этой кампании — отказ от традиционного вредоносного ПО в пользу злоупотребления легитимными веб-технологиями и доверенными платформами. Типичная цепочка атаки выстроена следующим образом:
Начальный вектор: локализованные приманки
По данным исследователей, мошенники создают фейковые аккаунты Facebook, имитирующие известных телекоммуникационных провайдеров — в частности, Algérie Télécom — и продвигают поддельные акции. Ключевой элемент — локализация: приманки адаптированы под конкретные регионы и операторов связи, что повышает доверие потенциальных жертв.
Промежуточный слой: легитимные агрегаторы ссылок
Вместо прямого перенаправления на вредоносные домены кампания использует промежуточный уровень — платформы агрегации ссылок, такие как Linkbio и Linktree. На этих сервисах создаются подставные посадочные страницы, которые выглядят безобидно и не вызывают подозрений у систем модерации социальных сетей. Это принципиально важный тактический выбор: использование доверенных доменов позволяет обходить как автоматические фильтры платформ, так и пользовательскую бдительность.
Захват браузера: push-уведомления и VAPID
Конечная страница запрашивает у пользователя разрешение на отправку уведомлений браузера — стандартный диалог «Нажмите Allow, чтобы продолжить». За этим скрывается подписка браузера на систему push-уведомлений с использованием публичного ключа VAPID (Voluntary Application Server Identification).
Исследователи обнаружили, что один и тот же VAPID-ключ фигурирует в кампаниях, имитирующих телекоммуникационных провайдеров Алжира, и в инвестиционных мошенничествах, нацеленных на пользователей в нескольких регионах. Поскольку VAPID-ключи идентифицируют сервис, ответственный за доставку push-сообщений, их повторное использование указывает на общую инфраструктуру уведомлений, а не на независимые операции. Это ценный индикатор для отслеживания связей между внешне разрозненными кампаниями.
Удержание жертвы: перехват навигации
Кампания применяет несколько техник удержания пользователя внутри мошеннической экосистемы:
- Перехват кнопки «Назад» — страница внедряет 10 фиктивных записей в историю браузера, создавая так называемую «тюрьму кнопки назад». Пользователь, пытаясь вернуться, многократно попадает на страницы с рекламой или мошенническим контентом.
- Техника «tab-under» — при переходе по ссылке, открывающей новую вкладку, отложенный скрипт тихо перенаправляет исходную вкладку на другой ресурс, контролируемый операторами. Жертва полагает, что покинула мошенническую страницу, но оригинальная вкладка продолжает генерировать трафик для инфраструктуры монетизации.
Комбинация этих техник существенно затрудняет выход пользователя из мошеннической воронки без принудительного закрытия всех вкладок.
Монетизация через систему распределения трафика
После подписки на уведомления жертвы, по данным Group-IB, направляются в систему распределения трафика (TDS), которая определяет конкретный сценарий мошенничества на основе типа устройства, геолокации и мобильного оператора. Среди выявленных путей монетизации:
- Мошенничество с платными звонками на премиальные номера
- Подписки на платные SMS-сервисы без явного согласия пользователя
- Инвестиционные мошенничества
Это расширяет представление о возможностях платформы Sniper Dz: помимо классического фишинга с кражей учётных данных, она, предположительно, обеспечивает полноценную инфраструктуру для множественных схем монетизации.
Контекст угрозы
Платформа Sniper Dz позиционируется как готовое решение «фишинг как услуга», снижающее порог входа для мошенников. Как сообщается, платформа была ликвидирована в ходе операции под руководством INTERPOL, однако первичного подтверждения от самого INTERPOL в доступных материалах не представлено. Следует учитывать, что атрибуция кампании к Sniper Dz основана на анализе одного исследовательского центра.
Принципиальный вывод из этого исследования — смещение фокуса современных мошеннических операций от распространения вредоносного ПО к злоупотреблению легитимными веб-технологиями: push-уведомлениями, API истории браузера, доверенными платформами агрегации ссылок. Это создаёт серьёзную проблему для традиционных средств защиты, ориентированных на обнаружение вредоносных файлов и известных фишинговых доменов.
Рекомендации по защите
- Для конечных пользователей: проверяйте и отзывайте разрешения на push-уведомления в настройках браузера (Chrome:
chrome://settings/content/notifications, Firefox:about:preferences#privacy→ раздел «Уведомления»). Удалите все подписки от незнакомых сайтов. - Для организаций в регионе MENA: информируйте сотрудников и клиентов о схемах с поддельными аккаунтами, имитирующими бренд компании. Настройте мониторинг упоминаний бренда в социальных сетях для раннего обнаружения фейковых страниц.
- Для команд безопасности: отслеживайте VAPID-ключи как индикатор инфраструктурных связей между кампаниями. Блокируйте на уровне прокси или DNS перенаправления через известные сервисы агрегации ссылок, если они не используются в бизнес-процессах.
- Для телеком-операторов: внедрите механизмы обнаружения подписок на премиальные SMS и платные звонки, инициированных без явного подтверждения абонента, и обеспечьте возможность оперативной блокировки таких сервисов.
Данная кампания демонстрирует, что эффективная защита от современного мошенничества требует контроля не только на уровне конечных точек, но и на уровне браузерных разрешений и поведенческих паттернов веб-навигации. Первый конкретный шаг — аудит разрешений на push-уведомления на всех корпоративных и личных устройствах и отключение подписок от неизвестных источников, а для организаций региона MENA — немедленная проверка наличия поддельных страниц, использующих их бренд в Facebook.
