От слова «мафия» может веять романтикой и чем-то тайным: такой образ долгое время создавался в кинематографе. В реальности же это организованная преступность с очень четкой иерархией и такими же жестокими нравами. Сегодня расскажем о «Смишинговой триаде» — группировке, которая специализируется на популярных схемах вполне себе технологичных «разводов» в 121 стране мира. Так что, если название и может показаться забавным, это заблуждение.
Читать на OnlínerКитайские триады появились многие столетия назад. Сначала это были аналоги религиозных «клубов по интересам», которые со временем обретали все больше черт преступных сообществ. Китайские триады обычно относят к наиболее закрытым преступным сообществам, потому вокруг них много тайн и непонятного. Однако это не мелкие группировки, а огромные сообщества, которые могут насчитывать десятки тысяч членов: к таким относятся, например, «Саньион», «14К», «Вошинво» и некоторые другие.
Действуют они как по старинке — с угрозами, насилием, вымогательством и подкупом, так и ищут новые горизонты: реальность вносит свои коррективы и так появляются все более технологичные триады. На самом деле, все они так или иначе вынуждены использовать современные технологии, так как преступность давно перебралась в интернет, а криптовалюты стали удобным способом платежей. Однако некоторые уходят в сеть с головой.
Смишинг (SMS-фишинг) — один из видов мошенничества, в котором злоумышленники выманивают у жертв данные из SMS или сообщений в мессенджерах для кражи личных данных, паролей и банковской информации. Именно из-за смишинга в банковских SMS можно увидеть приписку: «Никому не сообщайте код!»
Для сбора этих данных — кодов — могут использоваться разные способы, в том числе поддельные сайты, как в случае «Смишинговой триады».
Это одна из самых молодых триад — в поле зрение она попала где-то в 2023 году именно в связи с активностью на ниве киберпреступлений. Не исключено, что это «дочернее» предприятие какой-то из крупных группировок, однако может оказаться и самостоятельным «бизнесом». И весьма крупным. И еще один момент: в 2025 году Smishing Triad решила провести ребрендинг, став Lighthouse («Маяк»).
Особое внимание триада привлекла из-за массированных атак на пользователей в США, до этого жертвами становились жители Великобритании, Польши, Швеции, Италии и некоторых других стран. На первых порах группировка использовала для рассылки фишинговых SMS взломанные учетные записи Apple iCloud. Также через iMessage мошенники собирали необходимые им для дальнейшей работы данные, причем со временем схема усложнилась, в ней успешно использовали другие менее очевидные уязвимости экосистемы Apple.
Для увеличения доходов «Смишинговая триада» выпустила набор инструментов — PhaaS, или «фишинг как сервис», доступ к которому продает другим группировкам и одиночкам. В том числе потому охват триады быстро рос, география атак расширилась на множество других стран, приоритет отдавали европейским.
Журналистские расследования помогли найти и разработчика хакерского инструментария. Хотя это были просто псевдонимы в интернете: в публикациях фигурирует Ван До Ю, он же Лао Ван, LARVA-241 и wangduoyu06 (плюс вариации с другими цифрами). Основную свою деятельность разработчик вел в Telegram до момента, пока сервис не заблокировал его, но это вряд ли помешало завести новые аккаунты.
Как следует из данных, полученных компанией по обеспечению кибербезопасности Silent Push, деятельность «Смишинговой триады» может охватывать 121 страну (Беларуси в списке нет), в том числе «родные» регионы триад — Макао и Гонконг, в распоряжении мошенников имеется около 200 тысяч поддельных интернет-доменов, которые используются для обмана жертв. Активными в данный конкретный момент является меньшее число, так как срок жизни поддельного сайта короток: обычно около 20 дней, прежде чем его заблокируют регистраторы или мошенники забросят его за ненадобностью. Масштабы можно оценить по количеству переходов на такие фишинговые сайты: во время одной из атак насчитали более миллиона за 20 дней.
И на самом деле, проблема не только в том, что жертвы вводят коды из SMS, которыми потом пользуются злоумышленники. При переходе на фишинговые сайты ничего не подозревающие пользователи передают мошенникам весь набор персональных данных: имена, адреса, номера телефонов, номера кредитных карт и так далее. Потом все это добро продают в даркнете или используют для более изощренных атак, в том числе с применением социальной инженерии.
В 2025 году триада обновила свой PhaaS — тогда он и стал Lighthouse, в него добавили работу с крупными финансовыми и банковскими сервисами. Но наибольшей популярностью у «Смишинговой триады» стали пользоваться Apple Pay и Google Wallet, с помощью которых создание клонов кредиток для вывода похищенных денег заметно упрощается. Попутно росли и аппетиты.
Как рассказывал Форд Меррилл из SecAlliance, раньше клонам давали «настояться» в течение двух-трех месяцев, не используя их. Затем, когда виртуальная карточка уже считалась действующей некоторое время, а жертва забывала, что где-то, вероятно, что-то сделала не так, деньги выводили. При этом из-за паузы шанс того, что транзакция будет заблокирована антифрод-системой, практически сходил на нет. Потом ситуация изменилась, и деньги стали выводить практически моментально: хорошо, если пара дней пройдет.
В прошлом году Wired, кстати, отправили запрос в Google по мотивам такого алгоритма, в компании рассказали, что предупреждают пользователей о регистрации их карт в новом кошельке. Apple также получила запрос от издания, однако не ответила, но, можно предположить, корпорация тоже следит за «Смишинговой триадой». И наверняка это так, потому что в отчетах о «разводах», которыми делятся китайские «мафиози», фигурируют именно айфоны (эксперты отмечают, что это не значит, что экосистему Android игнорируют).
Может возникнуть заблуждение, что ПО пишется абы как, а работает оно как получится. Однако утверждается, что за работоспособностью сервиса следит крупная группа разработчиков, у них есть свой аналог Jira для управления проектом. Более того, следует из утверждений самой «Смишинговой триады», в хелп-деске по всему миру трудится более 300 человек, в целом они не смущаются рекламировать возможности мошеннического сервиса.
Да и сам интерфейс программы указывает на серьезную работу над ним: реализовано все — от управления до детальной статистики. По данным же Resecurity, в «Смишинговой триаде» также работают высококвалифицированные дизайнеры, которые подделывают интерфейсы популярных банков и сервисов, маркетологи и специалисты по продажам, которые ищут клиентов в даркнете. Подписка же, уверяют эксперты по кибербезопасности, стартует с $200 за «пакет», в рамках которого клиенты получают все необходимые скрипты и обновления.
А вот еще немного статистики о деятельности «Смишинговой триады»:
Но самое неприятное в этой истории то, что эффективных способов борьбы с подобными группировками на глобальном уровне пока не нашли. Да, в некоторых странах деятельность «смишинговых банд» сильно затруднена или практически невозможна, однако легкость автоматизированной регистрации новых доменов, слабые системы защиты от спама и работа подпольных SMS-сервисов (в Великобритании, например, за отправку тысячи смишинговых SMS просят около $8, полностью сконфигурированные SMS-гейты сдают и в аренду) позволяют таким триадам существовать, считают эксперты.
«Смишинговая триада», в свою очередь, остается одной из наиболее тайных преступных группировок: даже намеков о том, кто действительно стоит за организацией, попросту нет. Да и слова о том, что она создана в Китае, лишь предположение: на это указывают демонстрационные видео на мандаринском диалекте, комментарии в коде программного обеспечения и переписки акторов-преступников. А некоторые эксперты предполагают, что на самом деле это может быть несколько группировок, а не одна, хотя все же сходятся во мнении: они из Китая.
На фоне всего забавно звучат утверждения наподобие «сдираем маски со „Смишинговой триады“ и рассказываем всю правду», а дальше транслируются рассуждения на тему того, что поделать с ними ничего нельзя. Судя по всему, так будет еще некоторое время, пока кто-то из «топов» триады случайно не выдаст себя. Так, например, случилось с Рональдом Роландом и владельцем Silk Road Россом Ульбрихтом, который указал на форуме реальный e-mail, состоящий из реальных имени и фамилии.
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро
Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by
