FBI rozbiło ogromną platformę phishingową. Cyberprzestępcy korzystali z AI

Wspólna operacja amerykańskiego Federalnego Biura Śledczego, Google oraz firmy Lumen Technologies doprowadziła do rozbicia jednej z największych usług phishingowych działających w modelu abonamentowym. Platforma Outsider Enterprise miała umożliwiać cyberprzestępcom tworzenie fałszywych stron internetowych podszywających się pod banki, operatorów komórkowych, firmy kurierskie oraz instytucje publiczne.

Według śledczych działalność grupy mogła przyczynić się do kradzieży blisko 3,9 miliona kart płatniczych i strat szacowanych na około 1,9 miliarda dolarów, czyli ponad 7 miliardów złotych. Według informacji ujawnionych przez FBI korzystanie z platformy nie wymagało praktycznie żadnej wiedzy technicznej. Wystarczyło wykupić dostęp za 88 dolarów tygodniowo lub 200 dolarów miesięcznie za pośrednictwem specjalnego bota w komunikatorze Telegram. Następnie użytkownik otrzymywał dostęp do ponad 290 gotowych szablonów stron internetowych imitujących znane organizacje i usługi.

Jak działali cyberprzestępcy

Fałszywe witryny były przygotowane w taki sposób, żeby przechwytywać dane logowania, informacje o kartach płatniczych, kody SMS, jednorazowe hasła uwierzytelniające oraz inne elementy wykorzystywane podczas logowania dwuetapowego. Dzięki temu przestępcy mogli przejmować konta swoich ofiar niemal w czasie rzeczywistym.

Według śledczych działalność grupy mogła przyczynić się do kradzieży blisko 3,9 miliona kart płatniczych i strat szacowanych na około 1,9 miliarda dolarów, czyli ponad 7 miliardów złotych.

Szczególną popularnością cieszyły się kampanie podszywające się pod systemy opłat drogowych, usługi pocztowe oraz firmy kurierskie. To właśnie wiadomości SMS informujące o rzekomych zaległych opłatach lub niedostarczonych przesyłkach były jednym z najczęściej wykorzystywanych sposobów nakłaniania ofiar do odwiedzania przygotowanych stron.

Google twierdzi, iż operatorzy Outsider Enterprise udostępniali swoim klientom instrukcje pokazujące, jak korzystać z modelu Gemini do generowania kodu HTML dla stron phishingowych. Użytkownicy mieli formułować zapytania w taki sposób, aby wyglądały jak zwykła pomoc programistyczna, dzięki czemu łatwiej było ominąć zabezpieczenia modelu.

To pokazuje, że cyberprzestępcy coraz częściej próbują wykorzystywać narzędzia AI nie tylko do automatyzacji pracy, ale również do szybszego tworzenia nowych metod oszustw. W porównaniu z kampaniami phishingowymi prowadzonymi przez pojedyncze grupy przestępcze, model działania Outsider Enterprise przypominał gotową usługę.

Zabezpieczone serwery i wiele więcej

W ramach operacji nazwanej Ghost Hook służby przejęły serwery, domeny administracyjne, sklep internetowy wykorzystywany przez grupę oraz około 100 tysięcy dolarów w kryptowalucie USDT. Tysiące domen używanych do oszustw zostało przekierowanych na strony informacyjne FBI, a śledczy wykorzystali nawet narzędzia grupy do identyfikacji części klientów korzystających z platformy.

Sprawa pokazuje, jak łatwo cyberprzestępcy mogą dziś korzystać z gotowych narzędzi do prowadzenia zaawansowanych kampanii phishingowych. Jednocześnie widać, iż oszuści coraz częściej korzystają z AI.