Smishing Triad – globalne zagrożenie oszustwami SMS

Smishing Triad – globalne zagrożenie oszustwami SMS

Wojciech Łupina
Ekspert ds. cyberbezpieczeństwa

Grupa przestępcza Smishing Triad, pochodząca z Chin, od 2023 roku prowadzi jedną z największych kampanii oszustw SMS na świecie. Celem ich działań jest wyłudzanie danych osobowych i finansowych użytkowników, przez fałszywe wiadomości tekstowe, które imitują komunikaty od instytucji takich jak banki, poczta, czy firmy kurierskie. Ataki te objęły już ponad 120 krajów, w tym Polskę.

W marcu 2025 roku deweloper stojący za zestawem phishingowym używanym przez Smishing Triad uruchomił kanał na Telegramie, prezentując narzędzie o nazwie „Lighthouse”. Jest to zaawansowane oprogramowanie do tworzenia stron podszywających się pod witryny banków i innych instytucji. Początkowo cele były zlokalizowane w Australii oraz regionie Azji i Pacyfiku. Grupa posiada ponad 300 pracowników wspierających różne aspekty oszustw i wyłudzania środków.

Smishing (SMS phishing) to forma phishingu, w której oszuści wysyłają fałszywe wiadomości tekstowe, często zawierające link do fałszywej strony zazwyczaj próbującej wyłudzić dane np. karty płatniczej, loginy i hasła. Strona może zachęcać też do pobrania niebezpiecznej aplikacji.

Czym jest Lighthouse?

Lighthouse działa jako „Spam-as-a-Service”, a więc usługa umożliwiająca masowe wysyłanie spamu SMS. Jest to model usługowy w cyberprzestępczości, w którym przestępcy oferują innym gotowe narzędzia i infrastrukturę do masowej wysyłki złośliwych lub niechcianych SMS-ów, w tym: phishingu (smishingu), fałszywych kampanii reklamowych lub wiadomości zawierających odnośniki do złośliwego oprogramowania.

Zestaw Lighthouse to zaawansowany zestaw phishingowy (ang. phishing kit) opracowany przez chińską grupę cyberprzestępczą. Pierwszy raz pokazano go w marcu 2025 na kanale Telegram Wang Duo Yu. Zestaw ten może służyć do:

  • podszywania się pod banki i instytucje finansowe,
  • kradzieży danych logowania, danych kart płatniczych, kodów 2FA itd.,
  • prowadzenia automatycznych kampanii phishingowych.

Istotne funkcje oferowane przez zestaw phishingowy:

  • Interfejsy podrobionych stron – fałszywe strony logowania do banków, dopasowane do urządzenia użytkownika.
  • Formularze wyłudzające dane – pola do wprowadzenia numeru karty, CVV, daty ważności, loginu, hasła itd.
  • Wyłudzanie kodów OTP (ang.One-Time Password). Są to jednorazowe hasła używane do uwierzytelniania, najczęściej jako drugi czynnik w procesie 2FA.
  • Lokalizacja geograficzna – wersje ataków dopasowane do kraju ofiary (język, bank).

Skala i zasięg ataków

Analiza danych zebranych przez Silent Push wskazuje, że grupa używała średnio około 25 000 nowych domen w ciągu 8 dni, a w całej kampanii wykorzystano już ponad 90 tysięcy stron. Większość z nich znajduje się na serwerach chińskich firm hostingowych, takich jak Tencent oraz Alibaba. Niektóre serwery grupy wygenerowały ponad milion odsłon w 20 dni, co oznacza, że liczba wysyłanych SMS-ów może być znacznie wyższa, niż przypuszczano.

Smishing Triad nie ogranicza się jedynie do wysyłania wiadomości SMS. Grupa rozwija własne narzędzia phishingowe, takie jak „Lighthouse”, które umożliwiają tworzenie stron internetowych imitujących np. serwisy bankowe i wyłudzające numery karty płatniczych. Zebrane dane są wykorzystywane do dodawania kart płatniczych do cyfrowych portfeli, takich jak Apple Pay czy Google Pay. Pozwala na szybkie i anonimowe realizowanie nieautoryzowanych transakcji.

Smishing i fałszywe strony – jak się chronić?

Niepokojącego SMSa może dostać każdy, a ich liczba wraz z kolejnymi wyciekami czy kradzieżami danych będzie rosła. Oto kilka sprawdzonych zasad, które pomogą nie wpaść w pułapkę:

  • Ostrożność. Unikaj klikania linków w podejrzanych SMS-ach, ponieważ często dotyczą one fałszywych przesyłek lub bankowości.
  • Weryfikacja nadawcy. Sprawdzaj, od kogo pochodzi wiadomość, i unikaj podawania danych osobowych oraz finansowych na nieznanych stronach.
  • Zgłaszanie podejrzanych wiadomości. Zgłoś stronę do CERT Polska — mogą ją zablokować.
  • Weryfikacja dwuetapowa. Wszędzie, gdzie to możliwe, uruchom 2FA, bo nawet jeśli ktoś wyłudzi hasło, to nie powinno dojść do włamania na konto.
  • Ochrona urządzenia. Zainstaluj aplikację antywirusową z ochroną przed phishingiem.

A jeśli nie chcesz przegapić żadnych nowych doniesień ze świata cyberbezpieczeństwa, zaglądaj regularnie na naszego bloga!

Tagi:
Subskrybuj
Powiadom o
guest
0 Komentarze
Najnowsze
Najstarsze Najwięcej głosów
Opinie w linii
Zobacz wszystkie komentarze