Дослідники компанії Varonis повідомили про виявлення нової платформи phishing-as-a-service (PhaaS) під назвою Spiderman, орієнтованої на клієнтів європейських банків, фінтех-сервісів та криптовалютних гаманців. Інфраструктура дозволяє зловмисникам масштабно розгортати правдоподібні фішингові сторінки входу та перехоплювати не лише логіни й паролі, а й коди двофакторної автентифікації, реквізити карток та seed-фрази криптогаманців.
Що таке Spiderman: phishing-as-a-service проти фінансового сектору
Модель phishing-as-a-service перетворює фішинг на сервіс за підпискою: кіберзлочинцю не потрібно створювати власну інфраструктуру, він орендує готовий набір інструментів. Spiderman належить саме до такого класу рішень, автоматизуючи весь цикл атаки — від перенаправлення жертви на підроблену сторінку до збирання, збереження та експорту викрадених даних через веб-панель.
За даними Varonis, платформа спеціалізується на фінансових організаціях кількох європейських країн і підтримує різні сценарії шахрайства з онлайн-банкінгом. Особливо небезпечним є те, що Spiderman здатен обдурити користувачів, які покладаються на 2FA та одноразові коди, що критично в умовах прискореного переходу банків і платіжних сервісів в онлайн.
Кого атакує Spiderman: європейські банки, фінтех і криптосервіси
Виявлені кампанії на базі Spiderman націлені на клієнтів великих європейських банків, зокрема Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank, Commerzbank та інших фінансових установ у п’яти країнах Європи. Для кожного бренду створюються індивідуальні фішингові шаблони, які максимально копіюють інтерфейси інтернет-банкінгу та мобільних застосунків.
Атаки виходять далеко за межі класичного банкінгу. Платформа підтримує створення підроблених сторінок для фінтех-сервісів, таких як шведська платформа Klarna, а також популярного платіжного сервісу PayPal. Окремий функціональний блок орієнтований на користувачів криптовалют: Spiderman призначений для викрадення seed-фраз і даних доступу до гаманців Ledger, MetaMask, Exodus та інших рішень.
Таким чином, один фішинговий «двигун» покриває повний спектр фінансових активів — від традиційних рахунків до криптоактивів, що суттєво збільшує можливий збиток від успішної компрометації облікового запису.
Ключові можливості Spiderman: перехоплення сесій і гнучкий таргетинг
Моніторинг у реальному часі та крадіжка 2FA й PhotoTAN
Відмінна риса Spiderman — наявність веб-панелі керування, через яку оператори в режимі реального часу спостерігають за діями жертви на фішинговій сторінці. Це дає змогу миттєво перехоплювати:
- логіни та паролі до онлайн-банкінгу й фінтех-сервісів;
- одноразові паролі (OTP) з SMS або генераторів коду;
- коди підтвердження операцій і банківських токенів;
- дані платіжних карток.
Особливо показова підтримка крадіжки кодів PhotoTAN — поширеної в Європі схеми одноразових паролів на основі графічного коду. Користувачу відображається мозаїчне зображення, яке потрібно відсканувати офіційним застосунком банку; у відповідь застосунок генерує OTP, прив’язаний до конкретної транзакції. Spiderman достовірно імітує цей процес, дозволяючи зловмиснику перехопити одноразовий код саме в момент, коли клієнт впевнений, що підтверджує власну операцію.
Розширений таргетинг за країною, оператором та пристроями
Через панель керування Spiderman надає розвинуті можливості таргетингу фішингових кампаній. Оператори можуть:
- обмежувати атаки конкретними країнами та мобільними операторами;
- створювати «білі списки» провайдерів для уникнення аналізу з боку регуляторів і дослідників;
- розділяти трафік за типом пристрою, прицільно атакуючи мобільних або десктопних користувачів;
- налаштовувати редиректи на легітимні сайти для відвідувачів, які не відповідають параметрам кампанії.
Такий підхід дозволяє кіберзлочинцям одночасно підвищувати конверсію атак і знижувати ризик виявлення інфраструктури фішингу.
Модульна архітектура та еволюція загроз для онлайн-банкінгу
За оцінкою Varonis, Spiderman побудовано за модульною архітектурою: нові банки, портали та механізми автентифікації додаються як окремі модулі. Це означає, що зі зміною інтерфейсів інтернет-банкінгу й упровадженням нових методів автентифікації (наприклад, у межах вимог PSD2 і Strong Customer Authentication, SCA) автори платформи можуть швидко оновлювати фішингові шаблони.
Галузеві звіти з кібербезпеки, зокрема щорічні дослідження інцидентів на кшталт Verizon Data Breach Investigations Report та аналітика ENISA, стабільно відносять фішинг до провідних векторів початкового компрометування облікових записів. Поява спеціалізованих PhaaS-платформ на кшталт Spiderman знижує бар’єр входу для злочинців і покращує якість підроблених сайтів, посилюючи цю тенденцію.
Як захиститися від Spiderman та інших PhaaS-рішень
Попри технічну складність Spiderman, основою атаки залишається необхідність, щоб користувач самостійно перейшов за шкідливим посиланням і ввів свої дані. Тому базові правила кібергігієни залишаються найефективнішим захистом:
- Уважно перевіряйте домен у рядку браузера перед введенням логіна, пароля та кодів 2FA, особливо якщо перехід здійснюється з SMS, месенджера чи листа.
- Не переходьте за підозрілими посиланнями від «банку» або «платіжного сервісу» — безпечніше вручну ввести адресу або використовувати збережену закладку.
- Остерігайтеся вікон формату browser-in-the-browser (BiTB), які імітують окреме вікно входу з «правильним» URL, але фактично є частиною сторінки.
- Користуйтеся менеджерами паролів: вони підставляють облікові дані лише на тих доменах, для яких пароль збережений, і не «впізнають» фішингові копії.
- За можливості переходьте на FIDO2-ключі та апаратні токени, які криптографічно прив’язують автентифікацію до домену й захищають від перехоплення одноразових кодів.
- Організаціям варто впроваджувати антифішингові поштові шлюзи, регулярні тренінги та симуляції фішингу, а також моніторинг аномальної активності в облікових записах.
Поширення платформ phishing-as-a-service на кшталт Spiderman демонструє, наскільки швидко кримінальний ринок адаптується до цифровізації банків і криптосервісів. Своєчасне оновлення знань про сучасні фішингові техніки, критичне ставлення до будь-яких запитів на введення облікових даних і двофакторних кодів, поєднане з багаторівневими технічними засобами захисту, значно зменшує шанси зловмисників на успішну атаку.
