Фишеры научились обходить одноразовые коды через iMessage и RCS

Фишинговые атаки выходят на новый уровень: мошенники всё чаще уходят от обычных СМС и переносят свои схемы в RCS и Apple iMessage — туда, где сообщения выглядят солиднее, доставляются через интернет и хуже фильтруются операторами.

По данным Google Threat Intelligence Group, быстро растущая китайскоязычная экосистема фишинга активно использует RCS и iMessage, чтобы обходить защиту на уровне телеком-операторов.

В отличие от классических СМС, эти каналы работают через дата-сети и используют сквозное шифрование, поэтому операторам сложнее анализировать и блокировать вредоносные сообщения.

Для жертвы всё выглядит вполне прилично: сообщение с красивым оформлением, медиа, уведомлениями о прочтении и иногда даже брендированными элементами. Выглядит всё как нормальная коммуникация от банка, магазина, платёжного сервиса или цифрового кошелька.

Главное отличие новых схем — атака идёт в режиме реального времени. Пользователь вводит логин и пароль на фишинговой странице, данные сразу улетают в панель злоумышленника. Последний тут же инициирует настоящий запрос одноразового кода, а жертву просят ввести OTP на той же поддельной странице.

Злоумышленники всё чаще охотятся не просто за паролями, а за сессионными токенами и возможностью добавить украденную банковскую карту в свой цифровой кошелёк. После этого данные превращаются в токенизированный платёжный инструмент, которым можно пользоваться для бесконтактных платежей и крупных операций.

Google отмечает, что такие PhaaS-платформы уже превратились в зрелую криминальную инфраструктуру. Их рекламируют в Telegram, а вместе с фишингом предлагают домены, VPS, украденные данные и даже услуги по отмыванию денег.

Отдельный неприятный штрих — локализация. Например, платформа YY Lai Yu предлагает сотни шаблонов под разные страны, бренды и сценарии. Для Японии используют приманки с бонусными баллами, субсидиями на коммунальные услуги, PayPay и Rakuten. Мошенники больше не переводят шаблон через онлайн-переводчик на коленке, а реально подстраиваются под привычки конкретной аудитории.

В дело уже подключили и ИИ. Платформы вроде Darcula умеют автоматически клонировать сайты, подтягивая HTML, CSS и JavaScript с оригинальных страниц. Получаются уникальные фишинговые копии, которые сложнее ловить по сигнатурам. А чтобы защитники не расслаблялись, многие страницы добавляют антибот-проверки и ручные шаги верификации.