Специалисты «ЕСА Про» обнаружили в теневом сегменте интернета увеличение интереса к инструментам для HLR-верификации и массового анализа контактов через СБП – это первые сигналы подготовки масштабных фишинговых рассылок и SMS-нападений. Такие данные были предоставлены CNews сотрудниками «ЕСА Про».
Перед запуском мошеннических рассылок и фишинговых операций преступники верифицируют телефонные номера потенциальных жертв – это позволяет отсеять неактивные контакты и разработать более точные, а значит, и более опасные сценарии атак: HLR-проверка подтверждает активность номера и определяет его географическую привязку; анализ через СБП выявляет, в каких финансовых организациях у возможной жертвы открыты счета.
Кроме того, злоумышленники активно задействуют клиентские порталы банков и финтех-сервисов, где по номеру телефона можно установить наличие или связь с расчетным счетом.
Традиционно для мониторинга подобных угроз отслеживают лишь один индикатор – например, HLR-запросы. Для противодействия современным атакам этого недостаточно: изучение активности в даркнете демонстрирует необходимость комплексного отслеживания сигналов: массовые HLR-запросы по смежным телефонным диапазонам (номерам из одного региона), что обычно свидетельствует об использовании мошенниками базы данных, утекшей от определенного сервиса или компании, например, от новосибирского косметического ритейлера; массовые проверки через СБП и банковские веб-формы; корреляция с известными утечками информации.
«Подобная деятельность требует консолидации усилий регулирующих органов (в лице ЦБ, НСПК, Росфинмониторинга) и телекоммуникационных операторов. Такой подход позволит заблаговременно выявлять целевые атаки и оперативно реагировать: оповещать участников рынка, инициировать блокировку фишинговых кампаний и предупреждать потенциальных потерпевших», — отметила Диана Селехина, руководитель направления по борьбе с фишингом и цифровыми угрозами.
Если регуляторам, операторам связи и банкам удастся наладить сотрудничество, это позволит значительно снизить результативность массовых фишинговых и SMS-атак и повысить степень защищенности конечных пользователей.
