ФБР и Индонезия объединились, чтобы ликвидировать фишинговую сеть W3LL; в деле фигурирует более 20 миллионов долларов США

ФБР (Федеральное бюро расследований) и Национальная полиция Индонезии 14 апреля совместно объявили об успешном пресечении инфраструктуры фишинговой сети W3LL: изъято ключевое техническое оборудование, напрямую связанное с мошенничеством на сумму свыше 20 миллионов долларов, а также задержан предполагаемый разработчик GL. Операция проводилась при судебной поддержке Офиса прокурора Северного округа Джорджии в США. Это первый совместный антиподход со стороны правоохранительных органов двух стран, направленный против хакерской платформы.

Механизм работы фишинговой сети W3LL: преступные инструменты от $500

Ключевой замысел фишингового инструментария W3LL заключается в создании практически неотличимых фальшивых страниц входа, которые побуждают жертв самостоятельно вводить учетные данные. Злоумышленники могут приобретать право на использование инструментов на подпольном рынке W3LLSTORE по относительно низкой цене — около 500 долларов, что быстро распространяет инструменты в криминальной среде. В результате примерно 500 субъектов угроз активно используют их, формируя высокоорганизованную экосистему киберпреступлений.

Однако наиболее разрушительная функция фишинговой сети W3LL — технология атак «человек посередине» (AiTM). Злоумышленник может в реальном времени перехватывать сеанс входа жертвы и в тот же момент, когда пользователь вводит логин и пароль, синхронно похищать токены для проверки личности. Это означает, что даже если в учетной записи включена защита многофакторной аутентификации, злоумышленник способен захватить уже аутентифицированную сессию в момент завершения проверки, сводя защиту MFA к нулю.

Масштаб преступлений и траектория эволюции

История преступлений фишинговой сети W3LL насчитывает несколько лет и демонстрирует явный путь эволюции против правоохранительных органов:

2019–2023 гг.: активность подпольного рынка W3LLSTORE обеспечила оборот сделок с более чем 25 000 украденных учетных данных

После закрытия рынка: операторы перешли на криптокоммуникационные приложения, продолжая распространять переупакованные инструменты и обходить отслеживание правоохранительных органов

2023–2024 гг.: инструментальные наборы по всему миру затронули свыше 17 000 жертв

14 апреля 2026 г.: совместная операция США и Индонезии успешно конфисковала инфраструктуру, разработчик GL был взят под стражу

Вся преступная экосистема чрезвычайно организована: от разработки инструментов и продаж на рынке до фактического выполнения атак — сформирована полноценная цепочка поставок сетевой преступности.

Безопасностное сотрудничество США и Индонезии: новая зона совместного противодействия киберпреступности

Указанное время совместной операции по конфискации имеет дипломатическое значение. 13 апреля США и Индонезия официально объявили о создании отношений ключевого партнёрства в сфере обороны: рамки включают военную модернизацию в регионе Индо-Тихоокеанского региона, профессиональное обучение и совместные учения. Действия по конфискации фишинговой сети W3LL показывают, что двустороннее сотрудничество в области безопасности официально расширилось и на сферу правоохранительных мер против киберпреступности.

Особого внимания заслуживает то, что угроза фишинга для держателей криптовалют продолжает усиливаться. В январе 2026 года только за один месяц потери криптоинвесторов из‑за фишинговых атак превысили 300 миллионов долларов, что свидетельствует: даже если эта операция против фишинговой сети W3LL дала результаты, общая обстановка угроз по-прежнему вызывает серьезные опасения.

Часто задаваемые вопросы

Почему фишинговый инструментарий W3LL получил широкое распространение среди сообщества киберпреступников?

Быстрое распространение инструментария W3LL обусловлено двумя факторами: крайне низкой стоимостью входа — 500 долларов — и способностью обходить многофакторную аутентификацию, которой обладают лишь немногие другие инструменты. Комбинация «низкий порог — высокая эффективность» делает его предпочтительным орудием для организованных групп киберпреступников, а на подпольных рынках формирует устойчивую цепочку поставок и сбыта.

Как многофакторная аутентификация (MFA) обходится с помощью инструментария W3LL?

Инструментарий W3LL использует технологию атак «человек посередине» (AiTM): в момент, когда жертва завершает проверку MFA, злоумышленник мгновенно перехватывает уже проверенный сеанс входа и токены идентификации. При этом атакующий может войти в целевую учетную запись, выступая от имени жертвы, не зная второй фактор, из‑за чего традиционные механизмы защиты MFA перестают работать.

Как пользователям криптовалют эффективно защититься от такого рода продвинутых фишинговых атак?

Ключевые меры защиты включают: использование аппаратных ключей безопасности (например, YubiKey) вместо SMS или OTP из приложений в качестве способа многофакторной аутентификации; такой подход позволяет эффективно противостоять атакам AiTM; тщательная проверка подлинности доменного имени перед доступом к любой платформе; а также отказ от перехода по ссылкам входа в электронных письмах или сообщениях из неизвестных источников.