Блог компании Positive Technologies | Крупнейшее хищение на фондовом рынке Японии: как хакеры украли миллиарды через инвестиционные аккаунты

Весной 2025 года Япония столкнулась с кибератакой, которая уже названа одной из самых масштабных в истории ее финансовой системы. Хакеры получили контроль над тысячами брокерских счетов и провернули классическую мошенническую схему, оставив за собой цифровой след на миллиарды и множество неудобных вопросов для регуляторов.

Массовый взлом инвестиционных аккаунтов

В середине апреля Агентство финансовых услуг Японии (FSA) официально подтвердило масштабную волну атак на инвестиционные аккаунты. По состоянию на конец месяца, было зарегистрировано 2 746 подозрительных операций через 4 960 взломанных аккаунтов в девяти крупных брокерских компаниях.

Общий ущерб от несанкционированных операций превысил 1,9 миллиарда долларов. Из них около 1,04 миллиарда пришлось на продажу активов, а еще 902 миллиона — на последующую покупку других ценных бумаг. Это рекордная сумма по сравнению с предыдущими месяцами и, по сути, беспрецедентный случай для японского фондового рынка.

Как действовали злоумышленники

В основе атаки лежала схема, известная как pump-and-dump — искусственный разгон акций с последующим сбросом по завышенной цене. Получив доступ к инвестиционным аккаунтам пользователей с помощью похищенных логинов и паролей, хакеры сначала распродавали имеющиеся в этих аккаунтах бумаги. На вырученные средства они массово скупали акции малоизвестных компаний, бумагами которых уже заранее владели. Возросший спрос толкал цену вверх — и как только котировки достаточно поднимались, злоумышленники сбрасывали свои активы, фиксируя прибыль.

Характерно, что для махинаций использовались не только японские, но и иностранные ценные бумаги — схема была масштабной и хорошо спланированной.

Как хакеры получили доступ к аккаунтам

В последнее время в Японии наблюдается резкий рост фишинговых атак. Эксперты обращают внимание на широкое распространение инструмента под названием CoGUI — фишингового конструктора, особенно популярного в среде китайскоязычных хакеров. С его помощью злоумышленники создают поддельные сайты, собирающие логины, пароли и платежные данные. Дополнительно ситуацию усугубляет то, что современные языковые модели вроде ChatGPT позволяют мошенникам писать фишинговые письма, адаптированные под местный контекст и культурные особенности — так, что даже опытному пользователю сложно отличить подделку от настоящего сообщения.

Сигнал бедствия: предупреждение от регулятора

FSA оперативно отреагировало на всплеск взломов и опубликовало несколько публичных уведомлений для граждан и финансовых организаций. Ведомство рекомендовало брокерам усилить мониторинг активности пользователей, ввести многофакторную аутентификацию, отслеживать аномалии в торгах, включая резкие колебания малоликвидных бумаг, информировать клиентов о любых подозрительных действиях в их аккаунтах.

Инвесторам, в свою очередь, было предложено как можно быстрее сменить пароли, активировать двухфакторную аутентификацию и быть крайне осторожными при получении писем якобы от официальных структур.

Тревожный прецедент

Сложность и масштаб атаки показали, что киберпреступники теперь активно работают не только с криптовалютами или банковскими счетами, но и напрямую с фондовыми рынками. Управляемые ботнеты, автоматизированные платформы торговли и генераторы фишинговых страниц позволяют проводить такие операции практически в промышленных масштабах.

Также стало очевидно, что классические методы защиты — вроде пароля и СМС-кода — уже недостаточны. Без продвинутой поведенческой аналитики и контроля со стороны самих брокеров, атаки такого рода могут происходить все чаще.

Что дальше

Расследование инцидента продолжается. Хотя виновники пока официально не названы, японские СМИ ссылаются на источники в правоохранительных органах, утверждающие о возможной причастности к инцидентам китайских группировок, специализирующихся на финансовом кибермошенничестве.

FSA и национальная полиция Японии обещают жесткую реакцию и усиление контроля, однако критики уже обвиняют регулятора в запоздалой реакции и недостаточном внимании к фишинговым атакам в последние годы. Параллельно брокерские компании вынуждены заниматься компенсацией убытков и срочным внедрением новых систем защиты.

Вывод

Этот инцидент — тревожный звоночек не только для Японии, но и для всего мира. Если в стране с одним из самых высоких уровней цифровизации и банковской дисциплины возможно такое масштабное хищение, то, где гарантия, что завтра подобная схема не сработает в других странах?

Цифровая эпоха требует не просто новых мер кибербезопасности, а нового подхода к доверию в финансовых системах. От этого зависит не только сохранность активов, но и стабильность рынков в целом.