картинг — темное ремесло похищения, продажи и прокачки ворованных платежных карт — годами был вотчиной русских хакеров.
Массовый переход США на чипованные карты подрубил этот бизнес под корень. Но китайские киберпреступники не дремлют: их свежие схемы дают индустрии второе дыхание. Теперь украденные данные карт превращаются в мобильные кошельки, с которыми можно шопиться не только онлайн, но и в обычных магазинах.
Почти каждый американец за последние пару лет ловил хотя бы одно фишинговое сообщение. То «Почта США» срочно требует доплатить за доставку, то «местный оператор платных дорог» грозит штрафом за неоплаченный проезд.
Эти сообщения рассылаются с помощью продвинутых фишинг‑китов, которыми барыжат киберпреступники с материкового Китая. Но это не просто стандартный «смишинг» через SMS — они вообще обходят мобильные сети стороной. Вместо этого атаки идут через iMessage на айфонах и RCS — на Android.
Фишинг‑киты в продаже
Если жертва введет данные карты на таком фейковом сайте, ее убедят, что банк хочет проверить крошечный платеж, высылая одноразовый код. На самом деле этот код приходит не просто так — банк подтверждает привязку карты к мобильному кошельку. То есть жертва своими руками отдает мошенникам ключи от своего сейфа.
Если жертва ведется и вводит код, фишеры мгновенно привязывают карту к новому мобильному кошельку Apple или Google, который тут же загружают на свой девайс. Теперь у них в руках полностью рабочая цифровая копия карты, готовая к шопингу.
«Кто сказал, что картинг умер? — задается вопросом Меррилл. — Это лучший клонер магнитных полос за всю историю! Продавцы требуют, чтобы покупатель брал минимум десять телефонов, и готовы отгружать их авиадоставкой».
В одном из рекламных видео можно наблюдать целые штабеля ящиков, набитых телефонами на продажу. Если приглядеться, на каждом аппарате есть наклейка с каракулями: дата загрузки кошельков, их количество и инициалы продавца. Настоящий картинг‑конвейер в действии.
Телефоны с заряженными кошельками
Меррилл рассказывает, что китайские кардеры обналичивают украденные мобильные кошельки через фейковые онлайн‑магазины, зарегистрированные на Stripe или Zelle. Схема простая: прогоняют транзакции на суммы от 100 до 500 долларов, и деньги плавно перетекают в их карманы.
Меррилл отмечает, что, когда эти фишинговые банды только начинали активничать пару лет назад, они выжидали по 60–90 дней перед тем, как сливать телефоны или использовать их в мошенничестве. Теперь же сроки сжались до недели‑двух — обороты растут, и никто не хочет ждать.
«Сначала эти ребята играли вдолгую, — говорит Меррилл. — А теперь все иначе: проходит максимум десять дней, и кошельки начинают жестко прокачивать».
«Этот софт работает откуда угодно, — объясняет Меррилл. — За 500 баксов в месяц они продают доступ к программе, которая может ретранслировать как NFC-платежи, так и любые цифровые кошельки. И да, у них даже круглосуточная техподдержка!»
Появление мобильного софта для так называемого призрачного тапа впервые эксперты ThreatFabric в ноябре 2024 года. По словам коммерческого директора компании Энди Чандлера, с тех пор их аналитики обнаружили, что целый ряд преступных группировок из разных уголков мира подхватили эту схему.
Чандлер отмечает, что среди новых игроков — организованные преступные группы из Европы. Они используют похожие атаки на мобильные кошельки и NFC, но их цель — банкоматы, поддерживающие снятие денег со смартфонов.
В ноябре 2024 года The Straits Times из Сингапура о задержании трех иностранных граждан, которых завербовали через соцсети. Им выдали «призрачные» тап‑приложения и отправили на шопинг за дорогими товарами.
С 4 ноября как минимум десять жертв мошенников заявили о несанкционированных транзакциях на сумму более 100 тысяч долларов. Деньги ушли на покупку айфонов, зарядок и ювелирки в Сингапуре, писала The Straits Times. В другом случае с аналогичной схемой 8 ноября полиция задержала малайзийскую пару.
Задержание преступников в Сингапуре
Например, жертва может начать вводить свои личные и финансовые данные, но в последний момент заподозрить подвох и передумать. Однако это не спасет ее — все, что она набирает в полях формы, утекает мошенникам в реальном времени, даже если она так и не нажмет заветную кнопку «Отправить».
Меррилл отмечает, что после ввода данных карты жертве часто показывают сообщение о том, что платеж не прошел, и предлагают попробовать другую карту. Этот трюк нередко позволяет мошенникам украсть не один, а сразу несколько мобильных кошельков у одного человека.
Еще одна фишка — массовая генерация учеток Apple и Google, через которые мошенники рассылают свои спам‑сообщения. В одном из Telegram-каналов китайские фишеры даже запостили фото своего «фермерского» сетапа: десятки телефонов, забитых бот‑аккаунтами, аккуратно расставлены на многоярусной стойке, а напротив — оператор всей этой фишинговой фабрики.
Рыбалка в разгаре
За работой этих фишинговых сайтов стоят живые люди, которые заняты делом, пока рассылаются новые сообщения. По словам Меррилла, мошенники шлют всего по несколько десятков SMS за раз, потому что дальше им самим приходится вручную доводить каждую жертву до финала. Ведь одноразовые коды для привязки карт к мобильным кошелькам работают всего пару минут, так что действовать нужно быстро.
Любопытная деталь: фейковые сайты почты и платных дорог вообще не открываются в обычном браузере. Они загружаются, только если определить, что жертва зашла с мобильного устройства.
«Им важно, чтобы жертва заходила именно с телефона, — объясняет Меррилл. — Так они гарантируют, что одноразовый код придет на то же устройство, а не на какой‑нибудь другой гаджет. Плюс так меньше шансов, что человек передумает и уйдет. А чтобы оперативно подхватить этот код и активировать мобильный кошелек, нужен живой оператор».
Меррилл обнаружил еще один коварный апгрейд в китайских фишинговых китах — они автоматически превращают украденные данные карт в цифровые копии настоящих. Система генерирует изображение карты с правильным дизайном, соответствующим банку жертвы. В итоге привязать ворованную карту к Apple Pay становится элементарно — достаточно просто отсканировать подделку камерой айфона.
В Telegram-канале одной из китайских фишинговых групп можно найти рекламу их сервиса, где наглядно показано, как украденные данные карт превращаются в реалистичные изображения самих карт.
Реклама фишинг‑кита демонстрирует, как данные превращаются в карточку
«Телефон не отличает реальную карту от картинки, — поясняет Меррилл. — Он просто сканирует изображение в Apple Pay, который затем говорит: „Окей, теперь подтвердите, что карта ваша“, — и шлет одноразовый код».
В августе 2023 года специалисты Resecurity уязвимость в платформе одного из популярных китайских фишинговых сервисов. Она случайно открыла доступ к личным и финансовым данным жертв. Исследователи назвали эту группировку Smishing Triad и выяснили, что за время работы она собрала 108 044 платежные карты через 31 фишинговый домен — в среднем 3485 карт на каждый сайт.
В августе 2024 года исследователь безопасности Грант Смит выступил на DEFCON, рассказав, как он вышел на Smishing Triad после того, как мошенники, прикинувшиеся почтой США, развели его жену. Найдя другую уязвимость в их фишинговом ките, Смит смог увидеть, что через 1133 фейковых сайта прошло 438 669 уникальных кредитных карт — в среднем 387 карт на домен.
Если взять среднее — 1935 карт на домен — и минимальные потери в 250 долларов США на карту, выходит, что за год эта схема принесла мошенникам около 15 миллиардов долларов в виде фейковых транзакций.
Меррилл не спешит раскрывать, нашел ли он новые уязвимости в фишинговых китах, продаваемых китайскими группами. Он отметил, что после публикации статьи мошенники оперативно залатали все разоблаченные дыры.
Эксперты уверены: зависимость банков от одноразовых кодов при привязке карт к мобильным кошелькам подпитывает новую волну кардинга. Krebs on Security пообщался с топ‑менеджером крупного европейского банка (сотрудник согласился говорить только на условиях анонимности — официально комментировать тему ему запретили).
По словам этого эксперта, задержка между кражей данных карты и ее использованием в мошеннических схемах сильно затрудняет банкам поиск первопричины утечек. Многие просто не могут связать фишинговые атаки с последующими потерями.
Чтобы усилить безопасность привязки карт к цифровым кошелькам, некоторые банки в Европе и Азии требуют, чтобы клиент сначала вошел в свое банковское приложение, прежде чем добавить карту на устройство.
Борьба с угрозой «призрачного тапа» может потребовать обновления POS-терминалов, чтобы те научились определять, когда NFC-транзакция идет с подставного устройства. Но эксперты сомневаются, что ретейлеры бросятся менять свое оборудование раньше, чем оно отработает свой срок.
Ну и конечно, Apple и Google тоже придется взять на себя ответственность — ведь их платформы используются для массовой регистрации ботов, рассылающих фишинговый спам. Компании без труда могут отследить устройства, на которые вдруг привязываются 7–10 мобильных кошельков людей с разных концов света. Кроме того, они могли бы порекомендовать банкам перейти на более надежные методы аутентификации при добавлении карт в кошельки.
Массовый переход США на чипованные карты подрубил этот бизнес под корень. Но китайские киберпреступники не дремлют: их свежие схемы дают индустрии второе дыхание. Теперь украденные данные карт превращаются в мобильные кошельки, с которыми можно шопиться не только онлайн, но и в обычных магазинах.
От редакции
Мы решили в качестве эксперимента начать знакомить читателей с лучшими мировыми исследованиями. Далее — близкий к тексту пересказ из блога Брайана Кребса. Эта публикация доступна без платной подписки.Почти каждый американец за последние пару лет ловил хотя бы одно фишинговое сообщение. То «Почта США» срочно требует доплатить за доставку, то «местный оператор платных дорог» грозит штрафом за неоплаченный проезд.
Эти сообщения рассылаются с помощью продвинутых фишинг‑китов, которыми барыжат киберпреступники с материкового Китая. Но это не просто стандартный «смишинг» через SMS — они вообще обходят мобильные сети стороной. Вместо этого атаки идут через iMessage на айфонах и RCS — на Android.
Фишинг‑киты в продаже
Если жертва введет данные карты на таком фейковом сайте, ее убедят, что банк хочет проверить крошечный платеж, высылая одноразовый код. На самом деле этот код приходит не просто так — банк подтверждает привязку карты к мобильному кошельку. То есть жертва своими руками отдает мошенникам ключи от своего сейфа.
Если жертва ведется и вводит код, фишеры мгновенно привязывают карту к новому мобильному кошельку Apple или Google, который тут же загружают на свой девайс. Теперь у них в руках полностью рабочая цифровая копия карты, готовая к шопингу.
картинг 2.0
Форд Меррилл, специалист по безопасности из (дочка ), уже давно копает тему китайских «смишеров» и наблюдает за их эволюцией. Интересный факт: большинство этих группировок в своих Telegram-каналах выкладывают обучающие видео, где детально показывают, как загружать на один телефон кучу ворованных цифровых кошельков. Потом такие «заряженные» смартфоны продаются оптом по несколько сотен баксов за штуку.«Кто сказал, что картинг умер? — задается вопросом Меррилл. — Это лучший клонер магнитных полос за всю историю! Продавцы требуют, чтобы покупатель брал минимум десять телефонов, и готовы отгружать их авиадоставкой».
В одном из рекламных видео можно наблюдать целые штабеля ящиков, набитых телефонами на продажу. Если приглядеться, на каждом аппарате есть наклейка с каракулями: дата загрузки кошельков, их количество и инициалы продавца. Настоящий картинг‑конвейер в действии.
Меррилл рассказывает, что китайские кардеры обналичивают украденные мобильные кошельки через фейковые онлайн‑магазины, зарегистрированные на Stripe или Zelle. Схема простая: прогоняют транзакции на суммы от 100 до 500 долларов, и деньги плавно перетекают в их карманы.
Меррилл отмечает, что, когда эти фишинговые банды только начинали активничать пару лет назад, они выжидали по 60–90 дней перед тем, как сливать телефоны или использовать их в мошенничестве. Теперь же сроки сжались до недели‑двух — обороты растут, и никто не хочет ждать.
«Сначала эти ребята играли вдолгую, — говорит Меррилл. — А теперь все иначе: проходит максимум десять дней, и кошельки начинают жестко прокачивать».
Призрачный тап
Еще один способ обналички — реальные POS-терминалы. Мошенники просто прокатывают ворованные мобильные кошельки через Tap to Pay, один за другим. Но есть и кое‑что поинтереснее: Меррилл выяснил, что одна из китайских фишинговых банд толкает Android-приложение под названием ZNFC. Эта штука умеет пересылать легитимные NFC-транзакции в любую точку мира. Все, что нужно, — поднести телефон к местному терминалу, который принимает Apple Pay или Google Pay, а дальше приложение передаст платежку через интернет с устройства, например, в Китае (есть с демонстрацией).«Этот софт работает откуда угодно, — объясняет Меррилл. — За 500 баксов в месяц они продают доступ к программе, которая может ретранслировать как NFC-платежи, так и любые цифровые кошельки. И да, у них даже круглосуточная техподдержка!»
Появление мобильного софта для так называемого призрачного тапа впервые эксперты ThreatFabric в ноябре 2024 года. По словам коммерческого директора компании Энди Чандлера, с тех пор их аналитики обнаружили, что целый ряд преступных группировок из разных уголков мира подхватили эту схему.
Чандлер отмечает, что среди новых игроков — организованные преступные группы из Европы. Они используют похожие атаки на мобильные кошельки и NFC, но их цель — банкоматы, поддерживающие снятие денег со смартфонов.
В ноябре 2024 года The Straits Times из Сингапура о задержании трех иностранных граждан, которых завербовали через соцсети. Им выдали «призрачные» тап‑приложения и отправили на шопинг за дорогими товарами.
С 4 ноября как минимум десять жертв мошенников заявили о несанкционированных транзакциях на сумму более 100 тысяч долларов. Деньги ушли на покупку айфонов, зарядок и ювелирки в Сингапуре, писала The Straits Times. В другом случае с аналогичной схемой 8 ноября полиция задержала малайзийскую пару.
Задержание преступников в Сингапуре
Продвинутые фишинговые техники
По словам Меррилла, фейковые страницы почты США и операторов платных дорог оснащены рядом хитроумных нововведений, заточенных на выжимание максимума данных из жертвы.Например, жертва может начать вводить свои личные и финансовые данные, но в последний момент заподозрить подвох и передумать. Однако это не спасет ее — все, что она набирает в полях формы, утекает мошенникам в реальном времени, даже если она так и не нажмет заветную кнопку «Отправить».
Меррилл отмечает, что после ввода данных карты жертве часто показывают сообщение о том, что платеж не прошел, и предлагают попробовать другую карту. Этот трюк нередко позволяет мошенникам украсть не один, а сразу несколько мобильных кошельков у одного человека.
Еще одна фишка — массовая генерация учеток Apple и Google, через которые мошенники рассылают свои спам‑сообщения. В одном из Telegram-каналов китайские фишеры даже запостили фото своего «фермерского» сетапа: десятки телефонов, забитых бот‑аккаунтами, аккуратно расставлены на многоярусной стойке, а напротив — оператор всей этой фишинговой фабрики.
Рыбалка в разгаре
За работой этих фишинговых сайтов стоят живые люди, которые заняты делом, пока рассылаются новые сообщения. По словам Меррилла, мошенники шлют всего по несколько десятков SMS за раз, потому что дальше им самим приходится вручную доводить каждую жертву до финала. Ведь одноразовые коды для привязки карт к мобильным кошелькам работают всего пару минут, так что действовать нужно быстро.
Любопытная деталь: фейковые сайты почты и платных дорог вообще не открываются в обычном браузере. Они загружаются, только если определить, что жертва зашла с мобильного устройства.
«Им важно, чтобы жертва заходила именно с телефона, — объясняет Меррилл. — Так они гарантируют, что одноразовый код придет на то же устройство, а не на какой‑нибудь другой гаджет. Плюс так меньше шансов, что человек передумает и уйдет. А чтобы оперативно подхватить этот код и активировать мобильный кошелек, нужен живой оператор».
Меррилл обнаружил еще один коварный апгрейд в китайских фишинговых китах — они автоматически превращают украденные данные карт в цифровые копии настоящих. Система генерирует изображение карты с правильным дизайном, соответствующим банку жертвы. В итоге привязать ворованную карту к Apple Pay становится элементарно — достаточно просто отсканировать подделку камерой айфона.
В Telegram-канале одной из китайских фишинговых групп можно найти рекламу их сервиса, где наглядно показано, как украденные данные карт превращаются в реалистичные изображения самих карт.
Реклама фишинг‑кита демонстрирует, как данные превращаются в карточку
«Телефон не отличает реальную карту от картинки, — поясняет Меррилл. — Он просто сканирует изображение в Apple Pay, который затем говорит: „Окей, теперь подтвердите, что карта ваша“, — и шлет одноразовый код».
Профит
Насколько прибыльны эти мобильные фишинговые киты? Лучшие догадки пока что исходят от других исследователей кибербезопасности, которые уже давно следят за китайскими фишерами и их продвинутыми схемами.В августе 2023 года специалисты Resecurity уязвимость в платформе одного из популярных китайских фишинговых сервисов. Она случайно открыла доступ к личным и финансовым данным жертв. Исследователи назвали эту группировку Smishing Triad и выяснили, что за время работы она собрала 108 044 платежные карты через 31 фишинговый домен — в среднем 3485 карт на каждый сайт.
В августе 2024 года исследователь безопасности Грант Смит выступил на DEFCON, рассказав, как он вышел на Smishing Triad после того, как мошенники, прикинувшиеся почтой США, развели его жену. Найдя другую уязвимость в их фишинговом ките, Смит смог увидеть, что через 1133 фейковых сайта прошло 438 669 уникальных кредитных карт — в среднем 387 карт на домен.
Если взять среднее — 1935 карт на домен — и минимальные потери в 250 долларов США на карту, выходит, что за год эта схема принесла мошенникам около 15 миллиардов долларов в виде фейковых транзакций.
Меррилл не спешит раскрывать, нашел ли он новые уязвимости в фишинговых китах, продаваемых китайскими группами. Он отметил, что после публикации статьи мошенники оперативно залатали все разоблаченные дыры.
Ответный удар
Бесконтактные платежи в США взлетели после пандемии, и банки поспешили упростить процесс привязки карт к мобильным кошелькам. В итоге основным методом проверки личности стал одноразовый код по SMS — что, как теперь ясно, сыграло мошенникам на руку.Эксперты уверены: зависимость банков от одноразовых кодов при привязке карт к мобильным кошелькам подпитывает новую волну кардинга. Krebs on Security пообщался с топ‑менеджером крупного европейского банка (сотрудник согласился говорить только на условиях анонимности — официально комментировать тему ему запретили).
По словам этого эксперта, задержка между кражей данных карты и ее использованием в мошеннических схемах сильно затрудняет банкам поиск первопричины утечек. Многие просто не могут связать фишинговые атаки с последующими потерями.
Чтобы усилить безопасность привязки карт к цифровым кошелькам, некоторые банки в Европе и Азии требуют, чтобы клиент сначала вошел в свое банковское приложение, прежде чем добавить карту на устройство.
Борьба с угрозой «призрачного тапа» может потребовать обновления POS-терминалов, чтобы те научились определять, когда NFC-транзакция идет с подставного устройства. Но эксперты сомневаются, что ретейлеры бросятся менять свое оборудование раньше, чем оно отработает свой срок.
Ну и конечно, Apple и Google тоже придется взять на себя ответственность — ведь их платформы используются для массовой регистрации ботов, рассылающих фишинговый спам. Компании без труда могут отследить устройства, на которые вдруг привязываются 7–10 мобильных кошельков людей с разных концов света. Кроме того, они могли бы порекомендовать банкам перейти на более надежные методы аутентификации при добавлении карт в кошельки.
