Дослідники Group-IB розкрили деталі масштабної шахрайської кампанії, націленої на користувачів Близького Сходу та Північної Африки (MENA). Зловмисники використовують фейкові акаунти Facebook, що імітують політиків, публічних осіб і довірені організації, щоб заманювати жертв обіцянками безплатного мобільного інтернету, фінансових компенсацій та державних субсидій. Замість обіцяних вигод користувачі потрапляють у багаторівневу воронку перенаправлень, яка веде до фішингової інфраструктури та систем монетизації трафіку. Кампанія, за даними дослідників, пов’язана з платформою Sniper Dz — сервісом «фішинг як послуга» (PhaaS), який, за повідомленнями, був ліквідований у ході операції під керівництвом INTERPOL.
Багаторівнева воронка: від соціальної інженерії до монетизації
Відмінна риса цієї кампанії — відмова від традиційного зловмисного ПЗ на користь зловживання легітимними вебтехнологіями та довіреними платформами. Типовий ланцюжок атаки вибудуваний таким чином:
Початковий вектор: локалізовані приманки
За даними дослідників, шахраї створюють фейкові акаунти Facebook, що імітують відомих телекомунікаційних провайдерів — зокрема, Algérie Télécom, — і просувають підроблені акції. Ключовий елемент — локалізація: приманки адаптовані під конкретні регіони та операторів зв’язку, що підвищує довіру потенційних жертв.
Проміжний шар: легітимні агрегатори посилань
Замість прямого перенаправлення на зловмисні домени в кампанії використовується проміжний рівень — платформи агрегації посилань, такі як Linkbio і Linktree. На цих сервісах створюються підставні цільові сторінки, які виглядають нешкідливо й не викликають підозр у систем модерації соціальних мереж. Це принципово важливий тактичний вибір: використання довірених доменів дозволяє обходити як автоматичні фільтри платформ, так і пильність користувачів.
Захоплення браузера: push-сповіщення та VAPID
Кінцева сторінка запитує в користувача дозвіл на надсилання сповіщень браузера — стандартний діалог «Натисніть Allow, щоб продовжити». За цим приховується підписка браузера на систему push-сповіщень із використанням публічного ключа VAPID (Voluntary Application Server Identification).
Дослідники виявили, що один і той самий VAPID-ключ фігурує в кампаніях, які імітують телекомунікаційних провайдерів Алжиру, та в інвестиційних шахрайствах, націлених на користувачів у кількох регіонах. Оскільки VAPID-ключі ідентифікують сервіс, відповідальний за доставку push-повідомлень, їхнє повторне використання вказує на спільну інфраструктуру сповіщень, а не на незалежні операції. Це цінний індикатор для відстеження зв’язків між на перший погляд розрізненими кампаніями.
Утримання жертви: перехоплення навігації
У кампанії застосовується кілька технік утримання користувача в межах шахрайської екосистеми:
- Перехоплення кнопки «Назад» — сторінка додає 10 фіктивних записів в історію браузера, створюючи так звану «в’язницю кнопки назад». Користувач, намагаючись повернутися, багаторазово потрапляє на сторінки з рекламою або шахрайським контентом.
- Техніка «tab-under» — під час переходу за посиланням, що відкриває нову вкладку, відкладений скрипт непомітно перенаправляє вихідну вкладку на інший ресурс, який контролюють оператори. Жертва вважає, що залишила шахрайську сторінку, але оригінальна вкладка продовжує генерувати трафік для інфраструктури монетизації.
Комбінація цих технік суттєво ускладнює вихід користувача з шахрайської воронки без примусового закриття всіх вкладок.
Монетизація через систему розподілу трафіку
Після підписки на сповіщення жертви, за даними Group-IB, спрямовуються до системи розподілу трафіку (TDS), яка визначає конкретний сценарій шахрайства на основі типу пристрою, геолокації та мобільного оператора. Серед виявлених шляхів монетизації:
- Шахрайство з платними дзвінками на преміальні номери
- Підписки на платні SMS-сервіси без явної згоди користувача
- Інвестиційні шахрайства
Це розширює уявлення про можливості платформи Sniper Dz: окрім класичного фішингу з викраденням облікових даних, вона, ймовірно, забезпечує повноцінну інфраструктуру для численних схем монетизації.
Контекст загрози
Платформа Sniper Dz позиціонується як готове рішення «фішинг як послуга», що знижує поріг входу для шахраїв. Повідомляється, що платформу було ліквідовано в ході операції під керівництвом INTERPOL, однак первинного підтвердження від самого INTERPOL у доступних матеріалах не представлено. Варто зважати на те, що атрибуція кампанії до Sniper Dz ґрунтується на аналізі одного дослідницького центру.
Принциповий висновок із цього дослідження — зміщення фокуса сучасних шахрайських операцій від поширення зловмисного ПЗ до зловживання легітимними вебтехнологіями: push-сповіщеннями, API історії браузера, довіреними платформами агрегації посилань. Це створює серйозну проблему для традиційних засобів захисту, орієнтованих на виявлення зловмисних файлів і відомих фішингових доменів.
Рекомендації щодо захисту
- Для кінцевих користувачів: перевіряйте й відкликайте дозволи на push-сповіщення в налаштуваннях браузера (Chrome:
chrome://settings/content/notifications, Firefox:about:preferences#privacy→ розділ «Уведомления»). Видаліть усі підписки від невідомих сайтів. - Для організацій у регіоні MENA: інформуйте співробітників і клієнтів про схеми з фейковими акаунтами, що імітують бренд компанії. Налаштуйте моніторинг згадок бренду в соціальних мережах для раннього виявлення підроблених сторінок.
- Для команд безпеки: відстежуйте VAPID-ключі як індикатор інфраструктурних зв’язків між кампаніями. Блокуйте на рівні проксі або DNS перенаправлення через відомі сервіси агрегації посилань, якщо вони не використовуються в бізнес-процесах.
- Для телеком-операторів: впровадьте механізми виявлення підписок на преміальні SMS і платні дзвінки, ініційованих без явного підтвердження абонента, і забезпечте можливість оперативного блокування таких сервісів.
Ця кампанія демонструє, що ефективний захист від сучасного шахрайства вимагає контролю не лише на рівні кінцевих точок, а й на рівні браузерних дозволів і поведінкових патернів вебнавігації. Перший конкретний крок — аудит дозволів на push-сповіщення на всіх корпоративних і особистих пристроях та вимкнення підписок із невідомих джерел, а для організацій регіону MENA — негайна перевірка наявності фейкових сторінок, які використовують їхній бренд у Facebook.
