Ошибка ввода? Нет, проверка связи. Зачем мошенники заставляют вводить пароль дважды
NewsMakerБолее 400 человек потеряли сбережения из-за новой кампании киберпреступников.
Специалисты Group-IB описали новую кампанию, в которой злоумышленники атакуют клиентов банков на Филиппинах и действуют так аккуратно, что их письма и сайты почти не отличить от настоящих. Продолжающаяся атака началась ещё в начале 2024 года и к 2026 году не только не затихла, но и заметно усложнилась. Под удар попали пользователи как минимум трёх крупных банков, а не сами банки.
Схема начинается с писем, отправленных с взломанных учётных записей. Внутри – тревожные сообщения о подозрительной операции или входе в аккаунт с нового устройства. Ранее злоумышленники предлагали «отменить платёж», теперь чаще просят подтвердить данные или «повысить безопасность» учётной записи. Давление на срочность работает как и прежде: человек кликает по ссылке и попадает на поддельную страницу.
Для рассылки используют не случайные адреса, а реальные учётные записи, украденные ранее. Такие логины и пароли собирают в так называемые базы combolist , которые активно распространяют на теневых форумах. Благодаря этому письма выглядят более правдоподобно и чаще проходят фильтры почтовых сервисов.
С середины 2025 года злоумышленники изменили подход к ссылкам. Вместо прямых адресов начали прятать вредоносные страницы за сервисами с хорошей репутацией. В ход идут страницы бизнес-профилей Google, сеть доставки контента AMP, сервисы сокращения ссылок и облачные инструменты разработки. Ссылки выглядят безопасно, а фильтры пропускают такие письма.
Специалисты Group-IB описали новую кампанию, в которой злоумышленники атакуют клиентов банков на Филиппинах и действуют так аккуратно, что их письма и сайты почти не отличить от настоящих. Продолжающаяся атака началась ещё в начале 2024 года и к 2026 году не только не затихла, но и заметно усложнилась. Под удар попали пользователи как минимум трёх крупных банков, а не сами банки.
Схема начинается с писем, отправленных с взломанных учётных записей. Внутри – тревожные сообщения о подозрительной операции или входе в аккаунт с нового устройства. Ранее злоумышленники предлагали «отменить платёж», теперь чаще просят подтвердить данные или «повысить безопасность» учётной записи. Давление на срочность работает как и прежде: человек кликает по ссылке и попадает на поддельную страницу.
Для рассылки используют не случайные адреса, а реальные учётные записи, украденные ранее. Такие логины и пароли собирают в так называемые базы combolist , которые активно распространяют на теневых форумах. Благодаря этому письма выглядят более правдоподобно и чаще проходят фильтры почтовых сервисов.
С середины 2025 года злоумышленники изменили подход к ссылкам. Вместо прямых адресов начали прятать вредоносные страницы за сервисами с хорошей репутацией. В ход идут страницы бизнес-профилей Google, сеть доставки контента AMP, сервисы сокращения ссылок и облачные инструменты разработки. Ссылки выглядят безопасно, а фильтры пропускают такие письма.