Исследователи компании Varonis сообщили о выявлении новой платформы phishing-as-a-service (PhaaS) под названием Spiderman, специально нацеленной на пользователей европейских банков, финтех-сервисов и криптокошельков. Эта инфраструктура позволяет киберпреступникам массово создавать реалистичные поддельные страницы входа и перехватывать не только логины и пароли, но и коды двухфакторной аутентификации, данные банковских карт и seed-фразы криптокошельков.
Что такое Spiderman и почему это опасная PhaaS-платформа
PhaaS-модели превращают фишинг в «сервис по подписке»: злоумышленнику больше не нужно самому разрабатывать инфраструктуру, он арендует готовый комплект. Spiderman как раз относится к такому классу инструментов. Платформа автоматизирует создание фальшивых копий легитимных сайтов и управляет всей цепочкой атаки — от перенаправления жертвы на фишинговую страницу до сбора и экспорта украденных данных через удобную веб-панель.
По данным Varonis, Spiderman ориентирован на финансовые организации сразу в нескольких европейских странах и поддерживает многочисленные сценарии кражи данных. Платформа умеет обманывать даже пользователей, которые привыкли полагаться на двухфакторную аутентификацию и одноразовые пароли, что делает угрозу особенно значимой на фоне тенденции ухода банков в онлайн.
Кого атакует Spiderman: банки, финтех и криптокошельки
Целями кампаний, построенных на базе Spiderman, выступают клиенты крупных европейских банков, среди которых упоминаются Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank, Commerzbank и ряд других финансовых организаций в пяти странах Европы. Для каждого бренда создаются специализированные фишинговые шаблоны, максимально похожие на оригинальные страницы интернет-банкинга.
Атаки не ограничиваются классическими банковскими сервисами. Платформа поддерживает создание фишинговых страниц для популярных финтех-платформ, таких как шведский сервис Klarna, а также международного платежного гиганта PayPal. Отдельный блок функциональности нацелен на пользователей криптовалют: Spiderman позволяет выкрадывать seed-фразы и данные доступа к кошелькам Ledger, MetaMask, Exodus и другим решениям.
Таким образом, один и тот же фишинговый «движок» покрывает весь спектр финансовых активов — от классических банковских счетов до криптоактивов, что повышает потенциальный ущерб от успешной компрометации.
Функции Spiderman: перехват в реальном времени и тонкий таргетинг
Перехват сессий, 2FA и PhotoTAN «на лету»
Ключевое отличие Spiderman от примитивных фишинговых страниц — наличие веб-панели управления, через которую операторы следят за действиями жертв в режиме реального времени. Они видят процесс авторизации пользователя и могут в тот же момент перехватывать:
- логины и пароли от онлайн-банкинга и финтех-сервисов;
- одноразовые пароли (OTP), отправляемые по SMS или генерируемые приложениями;
- коды подтверждения транзакций (включая банковские токены и специальные схемы подтверждения);
- данные платежных карт.
Отдельно отмечается поддержка кражи кодов PhotoTAN — популярной в Европе системы одноразовых паролей. При входе в интернет-банк или подтверждении платежа пользователю отображается цветная мозаика (графический код), которую необходимо сканировать через официальное банковское приложение. Приложение декодирует изображение и выдает OTP, привязанный к конкретной операции. Spiderman имитирует легитимный процесс и позволяет злоумышленнику перехватить этот одноразовый код в тот момент, когда жертва считает, что подтверждает собственную транзакцию.
Гибкая настройка таргетинга жертв
Через панель управления операторы Spiderman получают развитые возможности таргетинга. Платформа позволяет:
- ограничивать атаки конкретными странами и операторами связи;
- формировать «белые списки» провайдеров, которых не следует атаковать (например, чтобы минимизировать внимание регуляторов и исследователей);
- фильтровать трафик по типу устройств — отдельно нацеливаться на мобильных или десктопных пользователей;
- настраивать редиректы для посетителей, которые не подходят под требования кампании (их перенаправляют на легитимные сайты, чтобы не вызывать подозрений).
Такая гибкость превращает Spiderman в удобный инструмент для проведения целевых фишинговых кампаний, где злоумышленники стремятся максимизировать конверсию и минимизировать риск раскрытия.
Модульность Spiderman и развитие угрозы для онлайн-банкинга
По оценке Varonis, архитектура Spiderman построена по модульному принципу: новые банки, порталы и схемы аутентификации добавляются как отдельные модули. Это означает, что по мере перехода европейских финансовых организаций на обновленные платформы интернет-банкинга и новые методы аутентификации (в том числе в рамках требований PSD2 и SCA), создатели Spiderman смогут оперативно адаптировать фишинговые шаблоны под обновленные интерфейсы.
Отраслевые отчеты по кибербезопасности, включая регулярные исследования инцидентов (такие как Verizon DBIR и обзоры ENISA), год за годом фиксируют фишинг среди ключевых векторов первоначального взлома учетных записей. Появление специализированных PhaaS-платформ вроде Spiderman усиливает эту тенденцию, снижая порог входа для киберпреступников и повышая качество их поддельных страниц.
Как защититься от Spiderman и подобных фишинговых платформ
Несмотря на технологическую сложность Spiderman, основой атаки остается один и тот же принцип: жертва должна сама перейти по вредоносной ссылке и ввести свои данные на поддельной странице. Поэтому базовые цифровые гигиенические практики остаются наиболее эффективной линией защиты:
- Всегда проверять доменное имя в адресной строке браузера перед вводом логина, пароля и кодов 2FA. Особенно внимательно относиться к ссылкам из SMS, мессенджеров и электронных писем.
- Избегать перехода по ссылкам из подозрительных сообщений от «банка» или «платежного сервиса». Надежнее ввести адрес вручную или использовать закладку.
- Обращать внимание на окна типа browser-in-the-browser (BiTB), имитирующие всплывающие формы входа с корректным URL. Если окно ведет себя как часть страницы (а не отдельное приложение браузера), это тревожный знак.
- Использовать менеджеры паролей: они автоматически подставляют учетные данные только на тех доменах, для которых пароль сохранен, и не «узнают» поддельные сайты.
- По возможности переходить на FIDO2-ключи и аппаратные токены, которые защищают от перехвата одноразовых кодов за счет криптографической привязки к домену.
- Организациям внедрять антифишинговые почтовые шлюзы, обучающие симуляции фишинга для сотрудников и мониторинг аномальной активности в учетных записях.
Распространение PhaaS-платформ вроде Spiderman показывает, насколько быстро криминальный рынок подстраивается под эволюцию онлайн-банкинга и криптосервисов. Пользователям и компаниям важно не только полагаться на технологические средства защиты, но и регулярно обновлять свои знания о современных фишинговых техниках, критически относиться к любым запросам на ввод учетных данных и двухфакторных кодов и активно внедрять многоуровневые меры кибербезопасности. Чем выше осведомленность и дисциплина пользователей, тем меньше возможностей остается у подобных платформ для успешных атак.
