Блог компании Positive Technologies | Мобильные фишеры атакуют брокерские счета: новая схема Ramp and Dump

Группы киберпреступников, которые ранее занимались распространением фишинговых комплектов для кражи банковских карт и их последующего перевода в мобильные кошельки, изменили свою тактику. Теперь злоумышленники обратили внимание на клиентов брокерских компаний. По данным исследователей из SecAlliance, все чаще фиксируются случаи применения схем ramp and dump, при которых захваченные аккаунты инвесторов используются для искусственного повышения стоимости акций с последующей продажей по завышенной цене.

Как работает схема

Мошенническая схема получила название ramp and dump — по аналогии с хорошо известными аферами типа pump and dump. В классическом варианте такой схемы злоумышленники массово скупают дешевые акции, так называемые «пенни-стоки», после чего искусственно разогревают интерес к компании с помощью агрессивной рекламы и публикаций в социальных сетях. Как только стоимость акций достигает нужного уровня, бумаги стремительно распродаются, а рядовые инвесторы остаются с активом, цена которого неизбежно обрушивается.

В варианте ramp and dump мошенникам не нужно создавать информационный ажиотаж. Они заранее покупают нужные акции через подконтрольные им счета и параллельно используют скомпрометированные брокерские аккаунты жертв, чтобы массово разгонять котировки. Как только цена достигает нужного уровня, аферисты распродают свои пакеты. Для легальных инвесторов результат один и тот же — крах котировок и серьезные убытки.

В связи с ростом числа подобных мошеннических операций в феврале 2025 года ФБР обратилось к пострадавшим инвесторам с просьбой предоставить информацию о подобных случаях.

От SMS-фишинга к брокерам

В период с 2022 по 2024 год киберпреступные группировки действовали гораздо проще. Они рассылали SMS-сообщения от имени почтовых служб США или операторов платных дорог. В таких уведомлениях утверждалось, что клиенту необходимо оплатить просроченную доставку или штраф. Поверившие сообщению пользователи переходили по ссылке, вводили данные своей банковской карты и подтверждали операцию одноразовым кодом.

На самом деле этот код использовался вовсе не для подтверждения платежа, а для активации карты в мобильном кошельке Apple или Google, которым управляли злоумышленники. Таким образом, похищенные карты оказывались привязанными к десяткам мобильных устройств, после чего телефоны с загруженными картами продавались оптовыми партиями и применялись для дальнейших мошеннических операций — как в интернете, так и при бесконтактной оплате.

Эта схема наглядно выявила серьезную уязвимость многих американских банков. Даже при наличии двухфакторной аутентификации они, по сути, опирались лишь на один элемент, легко подверженный фишингу, — SMS-код. Позднее банки усилили меры безопасности, потребовав, например, подключать карты к кошелькам исключительно через мобильное приложение. Однако вскоре преступники нашли для себя новую цель — клиентов брокерских компаний.

Китайский след

Согласно данным исследователя Форда Меррилла из компании SecAlliance, рост активности по схеме ramp and dump напрямую связан с китайскоязычным сообществом, которое открыто распространяет готовые наборы для фишинга через Telegram.

Сегодня в этом мессенджере активно действуют продавцы подобных инструментов, среди которых выделяется известная в криминальной среде участница под псевдонимом Outsider (ранее известна как Chenlun). Ее наборы включают готовые шаблоны сообщений и поддельных сайтов, имитирующих интерфейсы крупнейших брокерских платформ.

Сценарий атаки выглядит следующим образом. Жертве приходит SMS или iMessage с уведомлением о «подозрительной активности» и блокировке счета. В сообщении предлагается перейти по ссылке и «подтвердить данные». На поддельном сайте у жертвы запрашивают логин, пароль и одноразовый код.

Хотя в текущих версиях наборов основной целью обозначен брокер Charles Schwab, их легко адаптировать и под другие платформы, включая Fidelity и Vanguard.

Проблема многофакторной аутентификации

Компания Schwab, как и многие другие брокеры, предлагает клиентам несколько вариантов двухфакторной аутентификации: подтверждение через SMS, автоматический звонок, push-уведомления в мобильном приложении или использование сервиса Symantec VIP. Аналогичный подход применяет и Fidelity, где для входа требуется комбинация логина, пароля и одноразового кода, полученного по SMS, звонку или push-уведомлению.

Однако все эти способы остаются уязвимыми. Злоумышленники могут перехватить одноразовый код либо сымитировать push-запрос. Реальную защиту обеспечивают только физические ключи безопасности стандарта U2F, которые применяет компания Vanguard. Такие устройства невозможно подделать с помощью фишинга, так как они функционируют в автономном режиме и требуют непосредственного физического взаимодействия со стороны владельца.

Почти идеальное преступление

По словам Меррилла, схема ramp and dump выглядит как «почти идеальная афера». «Ее изощренность заключается в том, что она фактически разрывает цепочку доказательств. Злоумышленники могут официально приобрести акции в Китае, и последующий рост их стоимости будет выглядеть естественным. Ни один брокер в Китае или Гонконге не сочтет такие операции подозрительными», — поясняет эксперт.

При этом остается неясным, готовят ли преступники скомпрометированные аккаунты заранее или же задействуют их непосредственно перед манипуляцией. Известно лишь, что они нанимают операторов, которые часами работают за пультами с десятками смартфонов, рассылая фишинговые сообщения и в реальном времени отвечая жертвам, запрашивающим подтверждения.

Роль искусственного интеллекта

По словам исследователей, китайские фишинговые группировки все активнее применяют нейросети и большие языковые модели (LLM) при создании своих инструментов. Искусственный интеллект используется для перевода текстов, разработки интерфейсов и ускорения программирования, что значительно снижает порог вхождения и делает подобные технологии доступными даже для малоопытных участников преступного сообщества.

«Они буквально собирают свои комплекты наспех, но с применением LLM процесс становится практически мгновенным. Это открывает путь к массовым атакам и формирует новое поколение фишеров», — отмечает Меррилл.

Заключение

История с ramp and dump показывает, что киберпреступники действуют по принципу наименьшего сопротивления. Они не тратят силы на штурм хорошо защищенных систем, а ищут уязвимые места и бьют именно там, где оборона слабее. Новые технологии позволяют масштабировать такие атаки, превращая их из разрозненных эпизодов в отлаженный бизнес.

Сегодня для совершения киберпреступления уже не требуются глубокие технические знания. На теневых рынках можно приобрести готовые наборы для фишинга, воспользоваться переводами и интерфейсами, созданными нейросетями, и запустить атаку буквально «с нуля».

Именно поэтому вопрос цифровой безопасности в современном мире становится критически важным. Там, где защита выстроена формально или держится на устаревших механизмах, она обязательно даст сбой. А значит, компаниям и частным инвесторам необходимо заранее заботиться о надежных инструментах аутентификации, системах мониторинга и регулярном повышении уровня киберграмотности. Ведь в конечном счете безопасность всегда определяется тем, где «тонко» — и именно там рано или поздно может «порваться».