Киберпреступники начали применять новый способ отправки миллионам мошеннических текстовых сообщений людям. Обычно, когда злоумышленники рассылают волны фишинговых SMS, они используют мобильную сеть оператора. Однако по мере того, как операторы связи внедряют больше инструментов для обнаружения мошеннических сообщений в своих сетях, преступники начали применять технику MitM, аппаратно имитируя мобильного оператора. Они используют SMS пушки, передвигаясь по городу, отправляя сообщения непосредственно на телефоны поблизости.
За последний год наблюдался заметный рост использования так называемых «SMS-бластеров» мошенниками, и правоохранительные органы в нескольких странах выявляли и арестовывали лиц, применявших это оборудование. SMS-бластеры-это небольшие устройства, которые обнаруживали в багажниках автомобилей или рюкзаках преступников. Они имитируют вышки сотовой связи и заставляют телефоны использовать небезопасные соединения. После этого они рассылают мошеннические сообщения со ссылками на фальшивые веб-сайты на подключенные устройства.
Хотя технология не нова, применение SMS-пушек для мошенничества впервые было зарегистрировано в странах Юго-Восточной Азии, а затем распространилось на Европу и Южную Америку. Буквально на прошлой неделе Национальный центр кибербезопасности Швейцарии опубликовал предупреждение о SMS-бластерах. Эти устройства способны массово отправлять мошеннические сообщения без выбора адресатов. По данным Швейцарского агентства, некоторые бластеры могут отправлять сообщения всем телефонам в радиусе 1000 метров. Сообщения из Бангкока показывают, что с помощью одного бластера было разослано около 100 000 SMS в час.
«Это фактически первый случай, когда зафиксировано широкомасштабное использование мобильных радиопередающих устройств преступными группировками», — пояснил Кахал Мак-Дейд, вице-президент по технологиям телекоммуникационной и кибербезопасной компании Enea, которая отслеживает применение SMS-бластеров. «Хотя некоторые технические знания помогают в использовании этих устройств, их непосредственные операторы не обязаны быть экспертами. Есть сообщения об арестах лиц, которых просто нанимали ездить по районам с бластерами в автомобилях или фургонах».
SMS-бластеры работают как нелегальные базовые станции, известные как эмуляторы вышек сотовой связи (CSS). Они похожи на так называемые IMSI-catcher-ы, или «Stingray», которые правоохранители применяли для перехвата данных с телефонов. Однако вместо наблюдения они посылают ложные сигналы целевым устройствам.
Телефоны рядом с бластером могут быть принудительно подключены к его поддельному сигналу 4G, после чего устройство переводит их на менее защищенное соединение 2G. «Фальшивая базовая станция 2G используется для массовой рассылки вредоносных SMS на телефоны, которые изначально были подключены к поддельной базовой станции 4G»,-отмечает Мак — Дейд. «Весь процесс-подключение к 4G, снижение до 2G, отправка SMS и отключение — может занять менее 10 секунд». Получатели сообщений часто даже не замечают этого.
Рост использования SMS-бластеров происходит на фоне распространения мошенничеств. В последние годы технологические компании и операторы мобильной связи все чаще внедряют средства защиты от мошеннических SMS, от улучшенной фильтрации и обнаружения подозрительных сообщений до блокировки десятков миллионов SMS каждый месяц. В сентябре этого года британский оператор Virgin Media O2 сообщил, что заблокировал более 600 миллионов мошеннических SMS в 2025 году, что превышает общий показатель за предыдущие два года. В то же время миллионы сообщений все же доходят до адресатов, и киберпреступники быстро находят способы обхода систем обнаружения.
Поскольку бластеры работают за пределами традиционных мобильных сетей, отправляемые ими сообщения не подлежат защитным механизмам, используемым операторами. «Ни одно из наших средств безопасности не распространяется на сообщения, поступающие с таких устройств», — объясняет Антон Рейнальдо Бонифасио, директор по информационной безопасности и директор по ИИ в филиппинской телекоммуникационной компании Globe Telecom. «После подключения к поддельным базовым станциям мошенники могут подделывать идентификаторы отправителей или номера для отправки мошеннических сообщений».
Еще в 2022 году Globe Telecom приняла решение не доставлять SMS, содержащие URL-адреса, и Бонифасио считает, что мошенники применяют бластеры именно для обхода этого ограничения. «Раньше эта технология была более нишевой, но теперь продажа и сборка таких IMSI-catcher-устройств стали более распространенными среди преступных организаций», — добавил он. Исследователи обнаружили SMS-бластеры, которые открыто продаются онлайн за тысячи долларов.
По словам Саманты Кайт, руководителя отдела безопасности в отраслевой организации мобильных операторов GSMA, больше всего от SMS-бластеров сейчас пострадал Азиатско-Тихоокеанский регион, однако случаи также фиксируются в Западной Европе и Южной Америке. «Это может начаться как проблема одной-двух стран, но потом появляться в других регионах», — отметила она. Отчеты Commsrisk и Risky Business сообщают об использовании SMS-бластеров в Таиланде, Вьетнаме, Японии, Новой Зеландии, Катаре, Индонезии, Омане, Бразилии, Гонконге и других странах. Правоохранители Лондона сообщили об изъятии семи SMS-бластеров, а в июне студент из Китая получил более года заключения после задержания с таким устройством.
Кайт подчеркивает, что борьба с SMS-бластерами требует осведомленности операторов и государственных регуляторов, действий правоохранителей, а также сообщений от граждан о подозрительных SMS. «Мобильная индустрия стремится находить эти устройства, поддерживать доверие к тому, что люди видят на своих телефонах, и обеспечивать их защиту», — заключила она.
Йомна Нассер, инженер-программист Android, советует пользователям отключить подключение к 2G-сетям в настройках телефона. «После этого устройство больше не будет искать и подключаться к базовым станциям 2G»,-пояснила она, добавив, что исключение составляют только экстренные вызовы, если 3G, 4G и 5G недоступны. В некоторых новых моделях телефонов расширенный режим защиты Android автоматически отключает 2G. Apple не ответила на запрос WIRED на момент публикации, хотя в Lockdown Mode 2G также отключается.
В конце концов, пользователи могут даже не знать, что получили мошенническое сообщение из SMS-бластера. Детектив сержант Бен Херли из подразделения по борьбе с мошенничеством в Лондоне отмечает, что способ доставки изменился, но сами мошеннические схемы остаются прежними. фишинговые SMS обычно предназначены для того, чтобы заставить человека щелкнуть вредоносную ссылку и передать личные данные. » Это новый способ сделать то же самое», — отметил он. »Это меняет наши методы расследования, но результат остается прежним». Он также подчеркнул, что пользователям следует избегать перехода по ссылкам в неизвестных Сообщениях и делать паузу перед действиями, если SMS кажется подозрительным.
Как и во всех случаях киберпреступности, нельзя исключать, что организаторы схем и операторы бластеров будут менять тактику. «Сейчас сами SMS-бластеры остаются относительно простыми по технологии»,-добавил Мак-Дейд, пояснив, что изначально такая техника происходила из сферы государств, правоохранительных органов и военных структур. Если преступники получат доступ к более сложным технологиям и знаниям, «это может стать началом игры в кошки-мышки».
