Содержание
Киберкомпания Infrawatch описала сеть из 94 развёртываний SIM-ферм, которые связали с платформой ProxySmart. По данным исследования, эта инфраструктура даёт удалённый доступ к физическим SIM-картам в разных странах и помогает обходить проверки по SMS, которые до сих пор используют банки, маркетплейсы и сервисы логина.
Речь не про одну «ферму в гараже», а про распределённую коммерческую модель. Её в Infrawatch прямо называют SIM-Farm-as-a-Service — по сути, аренда мобильной «прописки» и трафика под задачи злоумышленников.
География и масштабы: 17 стран и десятки операторов
Infrawatch привязала найденные инсталляции к 17 странам. Всего исследователи насчитали подключение к 35 мобильным операторам через разные точки присутствия.
В Великобритании в список попали крупные операторы Three, O2, EE и Vodafone. В США, по данным Infrawatch, инфраструктуру распределили по 19 штатам, чтобы атакующие выглядели как «обычные» локальные пользователи с домашним мобильным интернетом.
Отдельно Infrawatch указывает, что доступ к этой связности продавали 24 коммерческих провайдера, ориентируясь на Европу, Северную и Южную Америку.
Как это устроено: стойки SIM-карт плюс софт для маскировки
SIM-фермы — это стойки с SIM-картами или пачки модемов/смартфонов, которыми управляют удалённо и массово. Такой подход используют, когда нужно проходить проверки «по телефону»: от SMS одноразовых кодов при входе до подтверждений платежей.
Технический разбор Infrawatch описывает, что платформа ProxySmart поддерживает несколько функций, которые снижают шанс детекта:
- Автоматическая ротация IP: смена адресов, чтобы не «светиться» на одном диапазоне.
- Удалённый контроль устройств: централизованное управление большим парком модемов/телефонов.
- Подмена сетевых отпечатков: маскировка параметров соединения и поведения.
Главная проблема для защиты тут в том, что мобильные сети часто выдают один IP на многих абонентов (например, из-за NAT). Поэтому простая блокировка по IP режет и легитимных пользователей, а злоумышленники этим пользуются.
Почему это тяжело «прибить» на уровне рынка
Infrawatch пишет, что такие сервисы рекламируют на форумах и в мессенджерах. Часть продавцов, по наблюдениям исследователей, не проверяет личность клиентов, принимает оплату в криптовалюте и строит процессы так, чтобы усложнить работу правоохранителям.
Глава Infrawatch Ллойд Дэвис отдельно подчёркивает юридическую серую зону: «SIM farms have been largely overlooked as criminal infrastructure to date — in part because the UK is the only country to have outlawed them», — сказал он. По его словам, это мешает согласованным международным зачисткам и даёт модели масштабироваться.
Infrawatch также утверждает, что ProxySmart «открыто рекламируют как SIM Farm-as-a-Service» и что у операторов есть «end-to-end» модель: от помощи в развёртывании стоек модемов до софта управления и антибот-функций.
Infrawatch сообщает, что поделилась результатами с профильными регуляторами и правоохранительными органами до публикации исследования.
