PhaaS-кит в действии: как коммерческая фишинговая платформа использует browser fingerprinting для обхода песочниц

Современные фишинговые атаки перешли на новый уровень автоматизации и скрытности. Анализ письма, направленного на адрес некоммерческой организации, выявил работу полноценной коммерческой фишинговой платформы (PhaaS). Атака начинается с технически безупречной доставки через SendGrid с прохождением проверок SPF и DKIM, что гарантирует попадание письма в основной почтовый ящик, минуя спам-фильтры.

Ключевая изощренность атаки раскрывается после перехода по ссылке. Вместо мгновенной загрузки фишинговой формы жертва сталкивается с обратным JavaScript-фреймворком collector.js. Его задача — провести детальную «разведку» окружения. Скрипт собирает отпечаток графического процессора (GPU fingerprint), намеренно ломает работу WebRTC для раскрытия реального IP-адреса, даже если жертва использует VPN, и активно детектирует открытие инструментов разработчика (DevTools). Только после успешного прохождения этих проверок и подтверждения, что трафик исходит от реального пользователя, а не системы анализа, жертве показывается целевая фишинговая форма для кражи учетных данных.

Этот случай демонстрирует эволюцию фишинга от массовых рассылок к целенаправленным и технологичным операциям. Использование готовой PhaaS-платформы снижает порог входа для злоумышленников и повышает эффективность атак против технически подкованных целей, включая сотрудников НКО и IT-компаний. Техника активного детектирования песочниц и средств анализа создает серьезные проблемы для традиционных систем безопасности, построенных на автоматическом сканировании ссылок.