Спам-рассылки через SMS раздражают почти всех. Однако проблема не только в их назойливости, но и в том, что они часто являются инструментом мошенников. Фишинг якобы от имени крупных брендов остается действенным инструментом киберпреступников, с помощью которого они похищают персональные данные и деньги пользователей, параллельно нанося репутационный ущерб самим брендам.
Существует ряд методов противодействия таким атакам, но в этой «борьбе брони и снаряда» пока выигрывают киберпреступники. Я Никита Котиков, руководитель направления пресейла в компании CICADA8, и в этой статье я опишу, в чем проблема традиционных методов защиты, и расскажу, как можно было бы эффективнее блокировать мошеннические ресурсы.
Традиционные методы борьбы с SMS-мошенничеством опираются на ряд проверенных технологий:
Статический анализ URL, позволяющий идентифицировать подозрительные паттерны в элементах ссылки, подмены символов и иные нестандартные конструкции;
Контентный анализ ресурса, отвечающий за выявление определенных сигнатур, свойственных мошенническим схемам, таким как: «срочно», «аккаунт заблокирован», «выигрыш», «код из смс» и подобные;
Таргетированный анализ «свежих» доменов посредством интеграции с ICANN и иными агрегаторами;
Использование фидов публичных черных списков и репутационных баз для ограничения доступа к ресурсам, имеющим проблемы с легитимностью.
Однако эти методы проактивного анализа и идентификации вредоносного контента зачастую крайне неэффективны против современных сценариев. Мошеннические сценарии с использованием SMS все чаще похожи на головоломку, особенно в сфере страхования и инвестиций, где инструменты киберпреступников достигли крайне высокого уровня сложности. Это требует принципиально новых подходов к анализу киберугроз.
Итак, почему же традиционные методы не работают?
Статический анализ URL
Злоумышленники генерируют уникальные одноразовые URL с использованием случайных поддоменов или параметров (hxxps://rand12345[.]trusted-brand[.]com/...). Статический анализ URL бессилен против параметризированных конструкций, где свыше 90% пути генерируется автоматически - scamdomain[.]com/data/load2/ref=7x3b&id=Uk53L, а использование обфусцированных доменов (xn--80a[.]xyz) еще больше усложняет задачу по определению конечного URL, где содержится вредоносный контент.
Также злоумышленники активно применяют каскадные редиректы через N легитимных сервисов (Google Forms, облака и промежуточные «пустые» домены), что позволяет скрыть конечный адрес.
Таргетированный анализ «свежих» доменов посредством интеграции с ICANN и иными агрегаторами
По данным исследования ProofPoint, порядка 89% атак в 2024 году использовали динамические идентификаторы и составные части url, обладающие относительно скромным временем жизни. Домены со сроком жизни от 12 часов до суток не позволяют произвести своевременную обработку и детектирование штатными средствами превентивного анализа в отношении «свежих» ресурсов. Чаще всего информация о новом домене попадает в ICANN и подобные базы лишь спустя сутки. То есть в данном случае они бесполезны – к моменту попадания в эти агрегаторы домен уже самоуничтожится.
Использование фидов и репутационных баз
Главной проблемой здесь является временной лаг с момента старта кампании и SMS-рассылки до момента анализа целевого URL и обновления информации в репутационных системах. Обычно он составляет от 12 до 48 часов. Согласно исследованию Kaspersky Lab, 78% блокировок происходят постфактум – уже по завершении мошеннической кампании, что особенно критично в случае короткого срока жизни вредоносных ресурсов.
Что же делать?
Очевидно, что эффективное противостояние современным сценариям мошенничества требует перехода от реагирования на уже завершившуюся кампанию к анализу в реальном времени. На мой взгляд, здесь могут помочь следующие инструменты:
Отслеживание динамических частей в URL
Лингвистический анализ
Сбор и обогащение систем анализа актуальной информацией
Динамическое раскрытие перенаправлений
Чтобы определить конечный URL, можно реализовать автоматизированный обход ссылок с эмуляцией мобильного устройства посредством использования headless-браузеров. Используя, например, заголовок User-Agent (Mozilla/5.0 (Android 12; Mobile; rv:136.0) Gecko/136.0 Firefox/136.0) и параметр viewport, характерные для мобильных устройств Android/iOS, можно идентифицировать вредоносный контент, предназначенный преимущественно для телефонов.
Фиксируя все перенаправления, в конечном итоге получаем цепочку и целевой контент: bit.ly/abc123 → tracking-domain.com → scam-site.org → финальный-фишинг.com.
Лингвистический анализ с уникальными правилами (ключевыми словами)
Для реализации данной задачи потребуется морфологически чувствительный словарь для дальнейшего контекстного анализа триггерных конструкций и фраз, например:
Base = {
"займы": ["срочный займ", "одобрение онлайн", "без отказа", "под %"],
"казино": ["бонус за регистрацию", "фриспины", "выигрыш гарантирован"],
"трейдинг": ["сигналы Binance", "стратегия x100", "инсайдерская информация"],
"BRAND": ["Brand_name", "ФИО ГД", "скидки до 50%", "ликвидация"]
}
Advance= {
"займы": [(?i)\b((копи(ю|я) паспорта|документ(а|ов))|(деньги (за|под) расписку))\b.?\b((с низкой ставкой)|онлайн|срочн(ый|о)|анонимн(ый|о)|мгновенн(ый|о)|(без юридических последствий))\b], "страховые": [(?i)\b((вам)|(доступен)|(бонус))\b.?\b((как)|(страхов(ому|ому))|(клиенту))\b.*?\b((активируйте)|(в личном кабинете))\b]
}
Этот метод хорош тем, что позволяет обнаружить свыше 80% целевых атак на этапе анализа ссылок, расположенных в SMS-сообщениях.
Обнаружение генераторов случайных URL
При помощи энтропии Шеннона можно измерить математическую сложность последовательности символов (в битах на символ).
Высокая энтропия (> 7,2 бит) указывает на высокую степень случайности:
случайные строки - aB3!fG7@kL1%
криптографические хеши, части MD5, SHA-1 - d41d8cd98f00b204…
UUID/GUID - 550e8400-e29b-41d4-a716-446655440000
Низкая энтропия же более характерна для осмысленного текста:
слова - user-profile, promo2024, login
даты - 2023-11-15
человеко-понятные URL - /category/product-name
Система оперативных фидов
Для многоуровневого сбора данных потребуется интеграция с SMS-шлюзами провайдеров, сбор информации из теневых сегментов Интернет (Threat Intelligence) на предмет распространения сопутствующей информации. Но это: конечно, требует сотрудничества операторов связи с участниками рынка кибербезопасности, которые обладают соответствующей экспертизой.
Комментарии (8)
JBFW
05.08.2025 11:31Как минимум для этого кто-то должен читать чужие СМС.
Не будет же этим Мариванна сама заниматься? Значит, нужно Мариванну защитить и ограничить, читать ее смс раньше чем отправлять ей.
Либо читать отправляемые клиентами операторов смс, например коды двухфакторной авторизации. Которые, конечно же, не уйдут налево.
Либо ждать, пока рассылка придет на номер-ловушку. Учитывая скорость работы smsc это все равно что ловить уже пролетевшую птицу.
В общем, непопулярное мнение: спасение утопающих дело рук самих утопающих. Вам МОЖЕТ придти фишинговая рассылка, вас МОГУТ пытаться обмануть мошенники - будьте внимательны и осторожны!
А вот стремиться все обезопасить, проверять силами каких-то специальных заботливых организаций и компетентных органов - это путь в цифровой концлагерь, где дежурный вахтёр получает право "пущщать или не пущщать", в соответствии со своими личными представлениями о прекрасном.
sotnik32 Автор
05.08.2025 11:31Если достаточно погрузиться в предметную область цифровых угроз, то совершенно очевидно, что опасения непосредственно в отношении приватности СМС здесь лишние. Речь идет о технических и системных решениях (провайдер/шлюз), которые подвергают анализу не содержимое целиком, а отдельные идентификаторы по шаблонам угроз без нарушения конфиденциальности.
В приоритете у подобных сервисов крупный бизнес и массовые цифровые продукты (банки, госуслуги etc) - для мошенников именно они представляют интерес с точки зрения сценария, нежели частные переписки или конкретный пользователь, что предполагает реагирование и блокировку самого мошеннического контента, а не доставку СМС или иные манипуляции с пользователями.
Более того, чтение СМС не представляет интереса с точки зрения анализа - для идентификации потенциальной угрозы и глубокого анализа требуется шаблон, предполагающий содержание url и потенциально опасного ресурса, не прошедшего проверку подлинности, что является сигналом к проверке конкретного ресурса, а не СМС. Для простоты аналогия - Антивирусные решения проводят анализ технических маркеров, а не непосредственно содержимого каждого документа.
Переходя к финальной части - безусловно, сложно не согласиться с тем фактом, что спасение утопающих в их собственных руках, однако, все не так просто - Верховный Суд внес свои коррективы в отношении бизнеса и держателей цифровых сервисов во многом из соображений защиты конечных пользователей (https://www.rapsinews.ru/judicial_analyst/20250731/311057799.html).
Цифровой концлагерь - лишь утопия, а в текущем контексте уж тем более неприменимая характеристика. Безопасность бизнеса и их клиентов - задача в том числе компетентных организаций и органов безопасности. Именно по этой причине отслеживание сложных шаблонов угроз, передающихся такими каналами, как СМС, является актуальной задачей как для бизнеса, так и для компетентных органов.
JBFW
05.08.2025 11:31Обыкновенное "хочу всё знать" под благовидным предлогом.
Вы используете обтекаемые формулировки - не надо, тут не журналисты, тут люди, которые представляют себе как работают "антивирусные решения". Некоторые их даже писали, пожалуй.
Речь идет именно о дополнительном влезании в пути передачи данных, исследовании содержимого на некие "угрозы", причем критерии угроз максимально неконкретны.
Это и есть тот самый цифровой концлагерь, который сейчас активно строится. И разумеется - "ради безопасности".
sotnik32 Автор
05.08.2025 11:31В таком случае смею заверить, что описанные сервисы и системы не предполагают "влезания" в пути передачи данных и в содержание сообщений соответственно. Такие манипуляции буквально запрещены.
Провайдеру достаточно отфильтровать все url, содержащиеся в рассылках по шаблонам, после чего сопоставить с имеющимися шаблонами угроз и "белыми списками". На основании полученной информации совершается вывод о легитимности рассылки (наличие ссылок на мошеннический или вредоносный контент). Для обмена информацией об актуальных угрозах, обогащения используемых шаблонов угроз как раз и необходимо тесное взаимодействие с компетентными организациями и РКН для оперативной блокировки зловредного контента. Анализу подвергаются строго "голые" url, без доступа к контенту.
В качестве примера: ссылки на поддельные ресурсы, имитирующие выгодные предложения популярных банков или МФО, зеркала азартных игр, сайты ГУ или мед. сервисов будут оперативно обнаружены и заблокированы на уровне РФ. Простейшие примеры сигнатур/шаблонов угроз и их отличие от традиционного подхода были продемонстрированы выше. Из чего следует, что критерии угроз достаточно прозрачны - распространение мошеннической информации/фишинга.
sotnik32 Автор
05.08.2025 11:31В том числе обращаю внимание, что в изложенном выше материале основной упор сделан непосредственно на актуальные угрозы фишинга/мошенничества и методологию борьбы со стороны технических средств и алгоритмов - ни слова про пути передачи или тот самый концлагерь.
В такие моменты вспоминается популярный ныне анекдот: "А этот Ваш цифровой концлагерь сейчас с нами в одной комнате..?" )
BPLA777
Не знаю, у меня ли одного, но вот, например, на Sony L3 (l4312) все левые сообщения уходят в мини-папочку "Спам". Мб от оператора функция, конечно...
SanSYS
Аналогично, ведроид доковидный ещё, но обновляемый и гугл довёз таки спам детекшн и там у меня дюжина смс уже только за это лето
BPLA777
Я думал что один на динозаврах гоняю))