Smishing Triad powiązana z 194 tys. złośliwych domen. Globalna operacja smishingowa uderza także w Europę

Wprowadzenie do problemu / definicja luki

Chińskojęzyczna grupa przestępcza znana jako Smishing Triad prowadzi trwającą kampanię phishingu SMS (smishing), w której zidentyfikowano ponad 194 000 złośliwych domen zarejestrowanych od 1 stycznia 2024 r. Celem jest wyłudzanie danych płatniczych i tożsamości poprzez fałszywe powiadomienia o opłatach drogowych, niedoręczonych paczkach i usługach rządowych. Infrastruktura rejestracyjna i DNS jest powiązana m.in. z rejestratorem w Hongkongu, natomiast hosting w dużej mierze działa na popularnych chmurach w USA.

W skrócie

• Skala: 194 345 FQDN w 136 933 domenach bazowych; dzienny churn tysięcy nowych domen.
• Infrastruktura: DNS po stronie chińskich dostawców (np. AliDNS), hosting i IP głównie w USA (np. AS13335/Cloudflare).
• Wejścia socjotechniczne: SMS-y o mandatach za bramki/autostrady, niedoręczonych przesyłkach, a coraz częściej – logowanie do kont maklerskich.
• Zyski grupy: szacunkowo >1 mld USD w ciągu 3 lat – wg śledztwa prasowego.
• Zasięg: kampania globalna; podszywanie się pod banki, giełdy krypto, poczty państwowe i usługi w krajach UE (m.in. Polska, Litwa).

Kontekst / historia / powiązania

O Smishing Triad informowano już w 2023–2025 r. jako o ekosystemie PhaaS (Phishing-as-a-Service), który sprzedaje kity phishingowe i usługi na Telegramie, umożliwiając wielu podwykonawcom realizację kampanii na skalę przemysłową. Nowsze analizy pokazują rozszerzenie celów poza pocztę i opłaty drogowe na finanse i maklerkę.

Analiza techniczna / szczegóły kampanii

• Domeny i wzorce: popularne prefiksy typu com-, rosnący udział gov- w ostatnich miesiącach; krótkie, mylące łańcuchy z myślnikami mają udawać znane TLD/brand (np. imitacje serwisów rządowych). 71,3% domen żyje <7 dni, a <6% przetrwa 3 miesiące. Taki churn utrudnia blokowanie.
• Rejestracja/DNS/Hosting: ~68% domen zarejestrowanych w Dominet (HK) Limited; serwery głównie w USA (m.in. Cloudflare), natomiast zarządzanie DNS często przez AliDNS i Cloudflare. ~43,5 tys. unikalnych adresów IP.
• Najczęściej podszywane marki/kategorie: USPS (~28 tys. FQDN) oraz toll services (~90 tys. FQDN). Kampanie dotyczą też banków, krypto, e-commerce, policji i spółek państwowych w wielu krajach (w tym w Polsce i na Litwie).
• Łańcuch dostaw PhaaS: deweloperzy kitów, brokerzy danych (sprzedaż numerów), sprzedawcy domen, dostawcy hostingu, spamerzy SMS/RCS/IM, skanery „liveness” numerów, skanery blocklist – każdy element można „zamówić”.

Praktyczne konsekwencje / ryzyko

• Kradzież danych i środków: wyłudzenia kart, danych osobowych, kodów OTP; dodawanie kart do portfeli mobilnych i szybkie wypłaty.
• Ataki na konta maklerskie: po przejęciu kont sprawcy stosują „ramp & dump” (szybkie przeniesienie i pompowanie walorów niskiej płynności, a następnie realizacja zysków i cash-out).
• Ryzyko dla organizacji: podszywanie się pod brandy (brand abuse), utrata zaufania klientów, koszty chargebacków i wsparcia.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/CSIRT i zespołów bezpieczeństwa

1. Blokady DNS/URL: wdrażajcie feedy oparte na pDNS + wzorcach domenowych (prefiksy com-, gov- i hyfenizacja), z automatycznym wygaszaniem/aktualizacją z powodu krótkiego TTL życia domen.
2. Polityki SMS: EDR/Mobile Threat Defense z detekcją linków w SMS/RCS/IM; regexy na słowa najważniejsze dot. opłat drogowych/paczek i landingi z imitacjami CAPTCHy/ClickFix.
3. Ochrona kont finansowych: wymuście FIDO2/U2F (klucze sprzętowe) dla dostępu do usług finansowych i paneli klienta – minimalizuje skuteczność smishingu i kradzieży OTP.
4. Monitoring brand abuse: ciągły typosquatting + doppelganger hunt z fokusami na TLD .com/.gov-imitacje oraz nagły przyrost rejestracji prefixów.
5. Współpraca z dostawcami: szybka eskalacja do Cloudflare/hosterów i rejestratorów (Dominet HK itd.) w celu zdejmowania serwisów phishingowych; automatyzacja zgłoszeń.

Dla banków/domów maklerskich i fintechów

• MFA odporne na phishing (FIDO2), risk-based auth, „step-up” przy dodawaniu kart do portfeli mobilnych i większych przelewach; geofencing dla provisioningów walletów.
• Detekcja anomalii giełdowych związanych z „ramp & dump” z kont detalicznych (niskopłynne tickery, krótkie okna).

Dla użytkowników końcowych

• Nie klikaj w linki z SMS-ów o dopłatach, mandatach, paczkach; wpisuj adres manualnie lub używaj oficjalnej aplikacji.
• Włącz klucze bezpieczeństwa do logowania (gdzie to możliwe) i unikaj podawania kodów 2FA na stronach z linków z SMS.

Różnice / porównania z innymi przypadkami

W odróżnieniu od typowych kampanii smishingowych opartych na pojedynczych kitach i stałych domenach, Smishing Triad to zdecentralizowany ekosystem PhaaS z intensywną rotacją domen (churn), podziałem ról i globalnym zasięgiem. Warto porównać to z wcześniejszymi falami podszywania się wyłącznie pod przewoźników – dziś ciężar przesuwa się na finanse i maklerkę, co zwiększa bezpośrednie straty finansowe.

Podsumowanie / najważniejsze wnioski

• Mamy do czynienia z operacją przemysłową, a nie pojedynczą kampanią.
• Automatyzacja detekcji na poziomie DNS/URL, krótki cykl TTP-based takedown oraz MFA odporne na phishing są krytyczne.
• Organizacje w UE (w tym w Polsce) również znajdują się w wektorze podszywania – należy nasilić monitoring brand abuse i edukację klientów.

Źródła / bibliografia

1. Palo Alto Networks Unit 42 – „The Smishing Deluge: China-Based Campaign Flooding Global Text Messages” (23 października 2025). (Unit 42)
2. The Hacker News – „Smishing Triad Linked to 194,000 Malicious Domains…” (24 października 2025). (The Hacker News)
3. Fortra – „Fortra Tracks Fivefold Increase in Brokerage Attacks YoY” (21 października 2025). (fortra.com)
4. The Wall Street Journal – „Chinese Criminals Made More Than $1 Billion From Those Scam Texts” (14 października 2025). (The Wall Street Journal)
5. Silent Push – „Threat Report: Smishing Triad” (26 czerwca 2025). (Silent Push)