Ново изследване на Palo Alto Networks Unit 42 разкрива мащабна и продължаваща smishing кампания, при която са засечени над 194 000 злонамерени домейна, използвани за фалшиви съобщения и измами по целия свят.

Според анализа, атаките се извършват от китайската група Smishing Triad, известна с изпращането на измамни SMS съобщения, представящи се за уведомления за глоби по пътищата или недоставени пратки. Целта е да се накарат жертвите да кликнат върху зловредни линкове и да предоставят лични или банкови данни.

Инфраструктура, маскирана чрез американски облачни услуги

Макар домейните да се регистрират чрез регистратор, базиран в Хонконг, и да използват китайски сървъри за имена, основната инфраструктура е хоствана върху популярни американски облачни платформи, включително Cloudflare (AS13335).
Изследователите отбелязват, че това е типична стратегия за прикриване на произхода на атаките и забавяне на реакцията на блокиране.

Финансов мащаб и еволюция на Smishing Triad

Според данни на The Wall Street Journal, Smishing Triad е спечелила над 1 милиард долара през последните три години.
Групата еволюира от разпространител на фишинг комплекти до цялостна криминална екосистема, която включва:

• разработчици на фишинг комплекти,

• брокери на данни (продаващи телефонни номера на жертви),

• доставчици на домейни и хостинг,

• спамери, които разпращат съобщенията,

• оператори, валидиращи активни номера,

• анализатори, които проверяват дали домейните са в блоклистове.

Тази phishing-as-a-service (PhaaS) структура превръща Smishing Triad в глобална мрежа от координирани киберпрестъпници.

Домейни с кратък живот и масови регистрации

От началото на 2024 г.:

• 93 200 от 136 933 основни домейна (68%) са регистрирани чрез Dominet (HK) Limited;

• 29% от тях са активни само до два дни;

• 71% изчезват в рамките на една седмица, а

• по-малко от 6% остават активни след три месеца.

Тази бърза ротация на домейни позволява на нападателите да избягват откриване и блокиране, като ежедневно регистрират хиляди нови сайтове.

Основни мишени и мащаб на кампанията

• USPS (Пощенската служба на САЩ) е най-често имитираната организация – с над 28 000 домейна;

• Фалшиви системи за пътни такси – около 90 000 домейна;

• Активна инфраструктура е засечена в САЩ, Китай и Сингапур;

• Кампаниите имитират банки, борси за криптовалута, пощенски и куриерски услуги, полиция, държавни институции и онлайн търговски платформи в държави като Русия, Полша и Литва.

Нова насока: атаки срещу брокерски и търговски акаунти

По данни на Fortra, свързаните със  Smishing Triad фишинг комплекти все по-често целят брокерски профили и банкови сметки, за да крадат идентификационни данни и кодове за потвърждение.
Само през второто тримесечие на 2025 г. атаките срещу такива акаунти са се увеличили петкратно спрямо същия период на 2024 г.

След компрометиране на акаунти нападателите извършват манипулации на борсови цени чрез „ramp and dump“ тактики, като почти не оставят цифрови следи.

Фалшиви правителствени страници и CAPTCHA капани

При кампаниите, имитиращи държавни услуги, потребителите често се пренасочват към страници, които твърдят, че имат неплатени глоби или такси.
Някои от тези страници използват измамни CAPTCHA прозорци (ClickFix), които всъщност изпълняват зловреден код при натискане.

Децентрализиран и устойчив модел

Според Unit 42, тази smishing кампания  представлява глобална, децентрализирана операция, в която:

„Атакуващите регистрират и изгарят хиляди нови домейни ежедневно, за да избегнат засичане и спират само временно, когато инфраструктурата бъде блокирана.“