Group-IB раскрыла детали мошеннических кампаний, нацеленных на пользователей Ближнего Востока и Северной Африки. По данным The Hacker News, операторы использовали поддельные Facebook-аккаунты, имитирующие политиков, публичных фигур и доверенные организации, чтобы продвигать фальшивые предложения: бесплатные мобильные пакеты, компенсации, государственные субсидии и похожие социально значимые приманки.

Кампании связывают с Sniper Dz — phishing-as-a-service платформой, которую в прошлом месяце отключили в рамках операции INTERPOL. Однако новые данные показывают, что экосистема использовалась не только для кражи учётных данных. Она также монетизировала трафик через злоупотребление браузерными push-уведомлениями, премиальные SMS-подписки, звонки на платные номера и инвестиционные мошеннические схемы.

Типичная цепочка начинается с локализованной социальной инженерии. Например, мошенники могли выдавать себя за телеком-провайдера вроде Algérie Télécom и обещать бесплатный интернет. Пользователь переходил по ссылке, но вместо прямого попадания на вредоносный сайт сначала оказывался на промежуточной странице в сервисах вроде Linktree или Linkbio. Такой слой повышает доверие и помогает обходить настороженность жертвы.

Дальше страница просила нажать «Allow», якобы чтобы продолжить. На самом деле браузер подписывался на push-уведомления через VAPID-ключ. Group-IB отметила повторное использование одного и того же VAPID-ключа в разных кампаниях — как под телеком-тематику в Алжире, так и под инвестиционные скамы в других регионах. Это указывает на общую инфраструктуру доставки уведомлений, а не на разрозненные независимые атаки.

Дополнительно страницы применяли манипуляции историей браузера: добавляли несколько фиктивных состояний, чтобы кнопка «назад» возвращала пользователя в мошенническую воронку. Использовалась и техника tab-under, при которой исходная вкладка незаметно перенаправляется на новый ресурс после взаимодействия с ссылкой. В итоге жертве сложнее выйти из сценария, а операторы продолжают гнать трафик на рекламные и мошеннические предложения.

Риск здесь не ограничивается классическим фишингом. Кампания показывает, как легитимные веб-функции — push-уведомления, сервисы ссылок, история браузера — превращаются в инфраструктуру давления и монетизации. Пользователям стоит особенно критично относиться к «социальным выплатам» и «бесплатным пакетам» из Facebook, а организациям — отслеживать злоупотребления брендом в соцсетях и жаловаться на такие страницы до того, как они наберут охват.

Источник: The Hacker News, 15 июня 2026