Правоохоронні органи Таїланду провели успішну операцію з припинення масштабної фішингової кампанії, в якій використовувалося передове технічне обладнання для масового розсилання шахрайських SMS-повідомлень. Зловмисники застосували мобільний IMSI-перехоплювач, встановлений у фургоні, який міг генерувати до 100 000 повідомлень щогодини в радіусі трьох кілометрів.
Технічні аспекти кібератаки
В основі атаки лежить експлуатація фундаментальних вразливостей протоколів мобільного зв’язку. IMSI-перехоплювач (відомий також як Stingray) імітує роботу легітимної базової станції стільникового зв’язку, змушуючи мобільні пристрої в зоні дії підключатися до нього. Критична вразливість полягає в асиметричній автентифікації: while мобільні пристрої повинні підтверджувати свою ідентичність через IMSI, базові станції не зобов’язані проходити подібну верифікацію.
Механізм шахрайської схеми
Зловмисники надсилали користувачам повідомлення про нібито закінчення терміну дії бонусних балів, спонукаючи перейти за фішинговим посиланням. Шахрайський веб-сайт візуально копіював офіційний портал Advanced Info Service (AIS) – найбільшого мобільного оператора Таїланду. На підробленій сторінці жертв просили ввести дані банківських карток, які згодом використовувалися для несанкціонованих транзакцій за межами країни.
Структура злочинного угруповання
Міжнародна злочинна група координувала свої дії через захищені канали месенджера Telegram. Під час спецоперації було затримано 35-річного громадянина Китаю, який керував фургоном з обладнанням. Щонайменше двоє інших учасників групи перебувають у розшуку. За три доби активної фази операції злочинцям вдалося розіслати близько мільйона фішингових повідомлень.
Глобальний контекст загрози
Подібний інцидент було зафіксовано в грудні 2022 року в Парижі, де злочинці використовували аналогічну технологію для розповсюдження фішингових повідомлень від імені служби медичного страхування. Такі випадки свідчать про зростаючу тенденцію використання мобільних IMSI-перехоплювачів у кіберзлочинності.
Цей інцидент підкреслює нагальну потребу в посиленні захисту протоколів мобільного зв’язку та впровадженні додаткових механізмів автентифікації базових станцій. Користувачам рекомендується критично оцінювати отримані SMS-повідомлення, особливо ті, що містять посилання або вимагають введення конфіденційних даних, навіть якщо відправник здається надійним. Використання двофакторної автентифікації та регулярне оновлення програмного забезпечення залишаються ключовими елементами особистої кібербезпеки.
