ФБР и Google ликвидировали китайский фишинговый сервис, обучавший клиентов создавать сайты-ловушки с помощью ИИ

ФБР, Google и компания Lumen Technologies объявили о ликвидации китайской фишинговой платформы Outsider Enterprise, работавшей по модели «фишинг как услуга» (phishing-as-a-service). В ходе операции были изъяты серверы и платежные кошельки злоумышленников, а также инициирован гражданский иск. Сервис продавался через Telegram-бота по цене от $88 (около 7000 рублей) в неделю, позволяя покупателям за считанные минуты создавать поддельные страницы банков, дорожных служб и служб доставки. В иске Google утверждается, что операторы платформы предоставляли подписчикам обучающие материалы, в которых демонстрировалось, как использовать нейросеть Gemini для генерации кода фишинговых сайтов. По данным ФБР, с июля 2023 года платформа причастна к краже примерно 3,87 миллиона банковских карт и нанесению ущерба на сумму около $1,9 млрд (примерно 152 млрд рублей).

Для работы с программным обеспечением Outsider не требовалось никаких технических навыков. Подписчики просто платили $88 в неделю или $200 (около 16000 рублей) в месяц через самообслуживаемого Telegram-бота, после чего могли выбирать из более чем 290 готовых шаблонов, имитирующих банки, операторов сотовой связи, государственные учреждения, департаменты транспортных средств (DMV), Почтовую службу США и дорожные системы оплаты, такие как нью-йоркская E-ZPass. Об этом говорится в иске, поданном в Южный окружной суд Нью-Йорка.

Набор инструментов захватывал данные жертв в реальном времени и мог запрашивать SMS-коды, PIN-коды, коды из электронной почты и подтверждения в приложениях по требованию, что позволяло операторам получать одноразовые пароли для обхода двухфакторной аутентификации. Поддельные сообщения от имени E-ZPass и других дорожных служб стали причиной волны мошенничества за последние два года.

В иске Google утверждается, что Outsider распространял пошаговые инструкции, включая обучающее видео, в которых показывалось, как заставить Gemini написать HTML-код для фишинговой страницы. Запросы маскировались под просьбу создать безобидную «страницу для вручения подарков» с использованием встроенного CSS и без JavaScript. Такая формулировка была призвана выглядеть как обычная просьба о помощи в программировании, чтобы обойти фильтры безопасности модели ИИ.

Полученный каркас страницы импортировался обратно в программное обеспечение Outsider и превращался в работающий мошеннический сайт, многократно увеличивая количество вариаций, доступных помимо 290 шаблонов. Ранее Google сообщал об использовании Gemini хакерами, связанными с национальными государствами, в фишинговых кампаниях и атаках. В прошлом году исследователи также обнаружили уязвимость в Gemini for Workspace, которая позволяла выполнять команды, скрытые внутри электронных писем. «Преступники все чаще используют ИИ, чтобы сделать подобное мошенничество более убедительным и трудным для обнаружения», — заявил Бретт Лезерман, заместитель директора отдела кибербезопасности ФБР.

Операция, получившая название «Призрачный крюк» (Operation Ghost Hook) и являющаяся частью более широкой операции ФБР «Прилив» (Operation Riptide), привела к захвату основных административных доменов группы, витрины на Shopify и примерно $100 000 (около 8 млн рублей) в USDT из платежных кошельков Outsider. Тысячи фишинговых доменов, зарегистрированных через американских провайдеров, теперь перенаправляются на предупреждающую страницу ФБР. Следователи также использовали собственного Telegram-бота группы для получения данных о ее клиентах. Собственные оценки Google более скромные, чем у ФБР: компания сообщает о сотнях тысяч жертв и 2,5 миллионах мошеннических сообщений, отправленных пользователям Android за двухнедельный период в мае.

В рамках гражданского иска Google добивается привлечения ответчиков к ответственности по закону RICO (Закон о борьбе с рэкетом и коррупцией) и за нарушение товарных знаков, хотя компания признает, что неназванные ответчики вряд ли будут экстрадированы из Китая. Этот иск последовал за аналогичным иском Google против фишинговой платформы Lighthouse в ноябре прошлого года, который был связан с более чем 1 миллионом жертв в 120 странах.

Источник: Tomshardware.com