ФБР та Індонезія спільно викрили та ліквідували фішингову мережу W3LL, сума збитків у справі перевищує 20 млн доларів США

Федеральне бюро розслідувань (FBI) у Атланті спільно з Національною поліцією Індонезії 14 квітня оголосили про успішне викриття інфраструктури фішингової мережі W3LL: вилучено ключове технічне обладнання, безпосередньо пов’язане із шахрайством на суму понад 20 мільйонів доларів, а також затримано підозрюваного розробника GL. Ця операція отримала юридичну підтримку від Офісу прокурора Північного округу штату Джорджія у США; це перший спільний антитиск з боку правоохоронних органів США та Індонезії проти хакерської платформи.

Механізм роботи фішингової мережі W3LL: злочинні інструменти від 500 доларів

Ключовою ідеєю розробки фішингового інструментарію W3LL є створення майже ідентичних до реальних фальшивих сторінок входу, щоб змусити жертв самостійно вводити облікові дані. Зловмисники можуть купити право на використання інструментів за відносно низьку ціну — приблизно 500 доларів — на підпільному ринку W3LLSTORE, швидко поширюючи їх у злочинному середовищі. Загалом близько 500 осіб, які здійснюють загрозливі дії, активно використовували інструменти, формуючи високоорганізовану екосистему кіберзлочинності.

Однак найбільш руйнівна функція фішингової мережі W3LL — технологія атак типу «людина посередині» (AiTM). Зловмисники можуть у режимі реального часу перехоплювати сесії входу жертви та синхронно викрадати маркери автентифікації в ту ж мить, коли користувач вводить обліковий запис і пароль. Це означає, що навіть якщо обліковий запис уже має захист за допомогою багатофакторної автентифікації, атакувальники можуть перехопити вже верифіковану сесію одразу після завершення перевірки, роблячи захист MFA фактично ілюзорним.

Масштаб злочину та траєкторія еволюції

Історія злочинності фішингової мережі W3LL триває роками й демонструє чіткий шлях еволюції з протидією правоохоронним органам:

2019–2023 роки: активність підпільного ринку W3LLSTORE сприяла обігу понад 25 000 угод із викраденими обліковими даними

Після закриття ринку: оператори переходять до криптографічних застосунків обміну повідомленнями та продовжують розповсюджувати заново запаковані інструменти, обходячи стеження з боку правоохоронців

2023–2024 роки: інструментарій у глобальному масштабі спричинив понад 17 000 жертв

14 квітня 2026 року: спільна американо-індонезійська операція успішно конфіскувала інфраструктуру, а розробника GL затримали

Уся злочинна екосистема є високоорганізованою: від розробки інструментів і продажу на ринку до реального виконання атак — формується повний ланцюг постачання кіберзлочинності.

Безпекова співпраця США та Індонезії: нова сфера для спільного протидії кіберзлочинності

Час цієї спільної операції з конфіскації має дипломатичне значення. 13 квітня США та Індонезія офіційно оголосили про створення ключового партнерства в галузі оборони; рамки охоплюють воєнну модернізацію в Індо-Тихоокеанському регіоні, професійну освіту та спільні навчання. Конфіскаційна операція проти фішингової мережі W3LL показує, що двостороння співпраця в безпеці вже офіційно поширилася на сферу правоохоронного протидії кіберзлочинності.

Окрему увагу варто звернути на те, що загроза фішингу для власників криптовалют і надалі посилюється. У січні 2026 року лише за один місяць інвестори в криптовалюти втратили через фішингові атаки понад 300 мільйонів доларів, що свідчить: навіть якщо цьогорічна операція проти фішингової мережі W3LL дала ефект, загальне середовище загроз усе ще є вкрай несприятливим.

Питання та відповіді

Чому фішинговий інструментарій W3LL може широко поширюватися в спільноті кіберзлочинців?

Швидке поширення інструментарію W3LL зумовлене двома основними факторами: дуже низькою вхідною ціною — 500 доларів — і тим, що іншим інструментам рідко властиві можливості обходу багатофакторної автентифікації. Поєднання низького порогу та високої ефективності зробило його інструментом номер один для організованих угруповань кіберзлочинців і сформувало стабільний ланцюг збуту на підпільному ринку.

Як багатофакторна автентифікація (MFA) обходиться фішинговим інструментарієм W3LL?

Інструментарій W3LL використовує технологію атак типу «людина посередині» (AiTM): у момент, коли жертва завершує перевірку MFA, відразу перехоплюється вже верифікована сесія входу та маркери ідентифікації, тож атакувальники можуть увійти в цільовий обліковий запис від імені жертви, не знаючи другого фактору, через що традиційні механізми захисту MFA стають неефективними.

Як користувачам криптовалют ефективно захиститися від таких просунутих фішингових атак?

Ключові заходи захисту включають: використання апаратних ключів безпеки (наприклад, YubiKey) замість SMS або OTP у застосунках як методів багатофакторної автентифікації — це дозволяє ефективно протидіяти атакам AiTM; перед відвідуванням будь-якої платформи уважно перевіряти автентичність домену; а також уникати переходу за посиланнями для входу в електронних листах або повідомленнях із невідомих джерел.