Аферы от имени авиакомпаний: хакеры, поддельные горячие линии и кража данных

В настоящее время авиационная отрасль сталкивается с комплексной многовекторной угрозой безопасности. То, что изначально казалось локальным всплеском фишинга, обнажило гораздо более масштабную уязвимость: ведущие авиакомпании вынуждены вести войну на два фронта, одновременно противодействуя изощренным внешним киберпреступникам и внутреннему корпоративному мошенничеству.

Данное расследование, проведенное в рамках международного сотрудничества экспертов GFCN Шримала Ди Си (Шри-Ланка), Сан-Хён Ли (Южная Корея) и Хари Чанда (Индия), отслеживает слияние угроз, нацеленных на авиационный сектор в период с середины 2025 года по май 2026 года. Результаты работы подробно описывают, как разрозненные группы злоумышленников эксплуатируют отрасль, используя вредоносное ПО для удаленного доступа против пассажиров, схемы компрометации корпоративной почты (BEC) против цепочек поставок и традиционные хищения изнутри.

Ловушка для пассажира: социальная инженерия и мобильное вредоносное ПО

Основным вектором этих мошеннических схем является манипулирование психологией пассажиров. В Южной Корее злоумышленники воспользовались ростом цен на нефть и реальными отменами рейсов, вызванными конфликтами на Ближнем Востоке. По словам эксперта GFCN Сан Хён Ли, на протяжении второй половины 2025 года прослеживалась четкая закономерность: мошенники эксплуатировали тревогу путешественников с помощью массовых кампаний SMS-фишинга.

Жертвы получали текстовые сообщения следующего содержания: «Ваш рейс отменен в связи с войной на Ближнем Востоке. Пожалуйста, перебронируйте билет по ссылке ниже.» Те, кто переходил по ссылке, попадали на точные копии главных страниц сайтов авиакомпаний, созданные для сбора номеров кредитных карт, паспортных данных и реквизитов банковских счетов. В других случаях мошенники использовали Instagram* и Facebook* для продвижения фейковых скидок на авиабилеты.

Когда жертвы откликаются на эти мошеннические предложения, атака часто переходит в плоскость прямого общения. В Шри-Ланке злоумышленники связываются с людьми через звонки в WhatsApp, выдавая себя за представителей авиакомпании SriLankan Airlines. Эксперт GFCN Шримал Ди Си сообщает, что эти операторы используют методы жесткого психологического давления, чтобы убедить жертв в необходимости установки специального приложения для получения возврата средств или скидки.

Жертвам отправляют ссылку для загрузки установочного файла Android (.apk) в обход официальных магазинов приложений. Как только пользователя вынуждают обойти настройки безопасности телефона и установить файл, на устройство внедряется троян удаленного доступа (RAT). Это вредоносное ПО предоставляет мошенникам скрытый контроль над устройством, позволяя перехватывать одноразовые пароли (OTP) и беспрепятственно выводить средства со счетов жертвы.

Иллюзия доверия: подмена Caller ID

Официальное публичное предупреждение, выпущенное Департаментом регистрации лиц Шри-Ланки 7 апреля 2026 года, в котором граждан предупреждают о мошенниках в WhatsApp, подменяющих номера правительственных горячих линий. (Источник: GFCN / Srimal DC).

Для придания легитимности своим коммуникациям преступные синдикаты используют технологию подмены Caller ID (идентификатора вызывающего абонента). Это позволяет им маскировать свои реальные телефонные номера, благодаря чему входящие звонки выглядят так, будто они поступают с официальных горячих линий авиакомпаний или из государственных учреждений.

Масштабы этой подмены выходят за рамки имитации корпоративных номеров и затрагивают критически важную государственную инфраструктуру. В апреле 2026 года Департамент регистрации лиц (DRP) Министерства цифровой экономики Шри-Ланки выпустил публичное предупреждение. Мошенникам удалось успешно подменить номер официальной горячей линии ведомства.

Манипулируя идентификатором вызывающего абонента для отображения вариантов реального контактного номера DRP, злоумышленники инициировали звонки гражданам в WhatsApp. Выдавая себя за государственных чиновников, они пытались незаконно собрать персональные идентификационные данные под видом выполнения официальных государственных задач.

Реагируя на массовые мошеннические рассылки об отмене рейсов, маскирующиеся под уведомления от авиакомпаний и турагентств, полиция и ведущие финансовые платформы Южной Кореи активно внедряют в общество четкое правило верификации: крупные корпорации, официальные агентства и государственные ведомства никогда не рассылают официальные уведомления с личных мобильных номеров, начинающихся со стандартного префикса 010.

Корпоративные взломы: цепочки поставок и BEC-атаки

Сообщение в СМИ, освещающее официальное заявление SriLankan Airlines касательно атаки типа компрометации корпоративной электронной почты (BEC), themorning.lk

Угроза не ограничивается отдельными потребителями; операционная инфраструктура авиакомпаний находится под активным прицелом. Преступные сети нацелились на сторонних поставщиков услуг, чтобы получить данные, необходимые для проведения убедительных кампаний по подмене идентичности.

В декабре 2025 года хакеры взломали систему поставщика бортового питания для Korean Air, похитив личную информацию 30 000 сотрудников. Одновременно с этим имена и номера счетов 10 000 сотрудников были похищены у подрядчика по кейтерингу, связанного с Asiana Airlines. Эти украденные данные регулярно используются в качестве оружия для проведения узконаправленного голосового фишинга и корпоративного мошенничества.

Хакеры также применяют тактику компрометации корпоративной электронной почты (BEC) для проникновения во внутренние сети компаний. В Южной Корее мошенники выдавали себя за топ-менеджеров и сотрудников отделов кадров, чтобы обманом заставить внутренний персонал перевести средства или выдать учетные данные.

Именно эта методология недавно привела к значительным финансовым потерям для SriLankan Airlines в Объединенных Арабских Эмиратах. После запросов со стороны дубайского поставщика услуг касательно неоплаченного счета на сумму 974 000 дирхамов ОАЭ (около 265 000 долларов США) В официальном заявлении говорится, что хакеры скомпрометировали почтовую систему поставщика. Киберпреступники изменили реквизиты банковских счетов и предоставили поддельные документальные подтверждения через официальные каналы связи, успешно перенаправив платеж авиакомпании на мошеннический счет.

Внутренний фронт: хищения

Новостной репортаж от 17 мая 2026 года, подробно описывающий официальные обвинения SriLankan Airlines в адрес своих сотрудников в Ченнаи, ndtv.com

Пока службы безопасности авиакомпаний борются с ростом числа внешних кибератак, им приходится параллельно сдерживать серьезные внутренние угрозы. Расследования, проведенные в Индии, выявили доказательства того, что финансовые потери отрасли — это не только дело рук сторонних хакеров.

Эксперт GFCN Хари Чанд указывает на недавние события в Ченнаи (Индия), где авиакомпания SriLankan Airlines официально обвинила своих сотрудников в растрате. Согласно заявлениям, опубликованным авиаперевозчиком в мае 2026 года, инцидент в Ченнаи никак не связан с делом о хакерской атаке в ОАЭ. Вместо этого сотрудники финансового отдела филиала в Ченнаи присвоили более 22 миллионов индийских рупий (около 263 000 долларов США) с помощью классических схем корпоративного мошенничества.

Внутренний аудит показал, что хищения совершались в течение длительного времени путем систематического изменения счетов-фактур, подделки подписей и фальсификации платежных реквизитов для перевода средств компании на несанкционированные банковские счета. Причастные к мошенничеству сотрудники отстранены от работы, а материалы дела переданы индийским правоохранительным органам для проведения полномасштабного уголовного расследования.

Стратегии защиты и снижения рисков

Сочетание мобильного вредоносного ПО, взломов корпоративной почты и внутреннего мошенничества свидетельствует о том, что связанные с авиацией преступные схемы превратились в высокотехнологичную индустриальную угрозу. Снижение этих рисков требует введения строгих протоколов верификации как со стороны потребителей, так и со стороны корпоративных структур.

Чтобы помочь потребителям ориентироваться в этом меняющемся ландшафте угроз, GFCN составила специальное Руководство по защите пассажиров. Мы настоятельно рекомендуем всем читателям ознакомиться с этими базовыми протоколами безопасности — включая инструкции о том, как действовать при подмене номера входящего звонка (Caller ID) и получении ссылок на вредоносные приложения — прежде чем взаимодействовать с любым представителем службы поддержки авиакомпании в интернете или по телефону.

Будьте бдительны и всегда проверяйте информацию, прежде чем предпринимать какие-либо действия.

_{*Решением суда запрещена деятельность компании Meta Platforms Inc. по реализации продуктов — социальных сетей Facebook и Instagram на территории Российской Федерации по основаниям осуществления экстремистской деятельности.}

_{Материал отражает личную позицию автора, которая может не совпадать с мнением редакции.}