Конвейер фейков и спама: как белорусская платформа ProxySmart помогает мошенникам арендовать тысячи «украинских» номеров

Ваша «сестра» в отчаянии просит срочно перевести деньги — только вот сестры у вас нет. Докучливые «страховые агенты», фальшивые звонки от имени оператора связи, тревожные SMS с требованием немедленно перейти по ссылке — всё это давно стало частью повседневной жизни. А за подавляющим большинством таких атак стоят SIM-фермы: стеллажи с мобильными телефонами и модемами, сданные в аренду мошенникам для автоматизированных кампаний в глобальном масштабе.

То, что SMS-сообщение пришло с местного номера, совсем не значит, что его отправил кто-то из вашей страны. Именно доступ к локальной телеком-инфраструктуре инициаторы угроз и используют, чтобы внушить доверие к поддельным обращениям, отмечает издание Cybercalm. В апреле 2026 года компания Infrawatch опубликовала результаты масштабного расследования, показывающего, как целая индустрия «SIM-ферм как услуги» питает мошенничество по всему миру — в том числе и в Украине.

Что такое SIM-ферма и почему она опасна

SIM-ферма — это сеть из сотен, а иногда и тысяч SIM-карт, подключенных к модемам и смартфонам, которые одновременно выполняют вычислительные и коммуникационные задачи. По логике она напоминает криптоферму: большое количество унифицированного оборудования, ориентированного на автоматизацию. Однако вместо добычи криптовалюты SIM-ферма производит телефонные номера и мобильные IP-адреса «по требованию».

Сам по себе такой аппарат не является преступным инструментом. Бизнес использует SIM-фермы для тестирования и масштабирования телеком-сервисов, разработчики — для проверки мобильных приложений, компании — для легальных массовых рассылок. Но когда управление этой инфраструктурой переходит к злоумышленникам, она превращается в мощный конвейер спама, смишинга (фишинга через SMS), мошеннических звонков и автоматизированных атак на онлайн-сервисы.

Каждая SIM-карта в ферме фактически является отдельным «устройством», с которого можно регистрировать новые аккаунты, обходить SMS-верификацию, управлять бот-сетями в соцсетях и на форумах, распространять дезинформацию и пропаганду, а также маскировать истинное происхождение трафика. Именно поэтому SIM-фермы стали любимым инструментом организованной киберпреступности: они дают преступникам «локальное лицо» в любой стране — американский номер для атак на жителей США, немецкий — на пользователей в Германии, украинский — для атак на украинцев.

Серьезную угрозу видят и государственные органы. Секретная служба США предупредила, что масштабные SIM-фермы способны не только рассылать мошеннические сообщения, но и перегружать мобильные сети, создавать помехи в работе служб экстренного вызова и служить каналом для зашифрованных коммуникаций организованных преступных группировок.

94 локации в 17 странах: как выглядит «SIM-ферма как услуга»

Расследование Infrawatch, опубликованное в апреле 2026 года, раскрыло целую экосистему коммерческих SIM-ферм, объединенных общей платформой управления ProxySmart. По данным компании, речь идет о 87 активных панелях управления в 17 странах и как минимум 94 физических локациях со стеллажами телефонов и 4G/5G-модемов, подключенных к сетям местных операторов. Наибольшая концентрация оборудования — в США, где фермы обнаружены в 19 штатах; отдельные площадки зафиксированы в Европе, Южной Америке и Австралии.

Странами, где найдена физическая инфраструктура, стали США, Канада, Великобритания, Германия, Испания, Португалия, Украина, Латвия, Франция, Румыния, Бразилия, Ирландия, Нидерланды, Австралия, Италия, Польша и Грузия. Фермы подключены как минимум к 35 мобильным операторам, среди которых AT&T, Verizon, T-Mobile, Vodafone, EE, O2, Three, Deutsche Telekom, Orange, Rogers, Telstra, а также украинские Kyivstar и lifecell. Доступом к этой инфраструктуре торгует как минимум 24 коммерческих провайдера прокси-сервисов.

Саму платформу ProxySmart исследователи связывают с разработчиками из Минска (Беларусь). Она продается как «коробочное решение»: владельцу фермы предлагают веб-интерфейс, API, автоматическую ротацию IP-адресов (в том числе путем включения-выключения «режима полета» на каждом телефоне), поддержку протоколов OpenVPN, SOCKS5, VLESS и HTTP-прокси, а также функцию подмены отпечатков операционной системы — устройство может выдавать себя за macOS, iOS, Windows или Android. Сервисы, работающие на базе ProxySmart, активно рекламируются в Telegram-каналах, ориентированных на русскоязычную аудиторию, — в частности как способ обойти геоблокировку и получить доступ к «западным» AI-сервисам и платформам для работы с GPU.

rdcnq69k0quvep182austytqy dxzzyqzdhyextyhzzzyzruzytrhqyqquyzzzdant

Показательно, что никаких реальных проверок клиентов (KYC) большинство провайдеров не проводит, а оплату часто принимают в криптовалюте. Это значит, что фактически любой покупатель — включая профессиональных мошенников и операторов бот-сетей — может арендовать готовую инфраструктуру для атак.

Реакция правоохранителей: от Нью-Йорка до операции SIMCARTEL

В сентябре 2025 года Секретная служба США демонтировала в Нью-Йорке сеть из более 300 SIM-серверов и около 100 000 SIM-карт, работавшую неподалеку от штаб-квартиры ООН. По оценке правоохранителей, мощностей этой фермы хватило бы, чтобы вывести из строя мобильную связь в масштабах всего Нью-Йорка. Месяцем позже, в октябре 2025 года, Европол поддержал международную операцию SIMCARTEL в Австрии и Латвии: семь задержанных, 1200 изъятых SIM-боксов и 40 000 активных SIM-карт, которые фигурируют как минимум в 1700 уголовных производствах о кибермошенничестве.

Несмотря на громкие ликвидации, SIM-фермы остаются в так называемой «серой зоне» законодательства большинства стран. Само оборудование не является запрещенным, а регуляторы обычно не имеют инструментов, чтобы оперативно реагировать на смену владельца или «арендатора» инфраструктуры. На данный момент единственной страной, которая на уровне закона запретила владение и поставку SIM-ферм, остается Великобритания — там новая норма призвана лишить мошенников готового инструмента для массовых атак. Однако за пределами юрисдикции Лондона эта запрет не действует.

Что это значит для украинцев

Украина — одна из 17 стран, где Infrawatch зафиксировала физические SIM-фермы, а также одна из юрисдикций, к которым активно маршрутизируется мошеннический трафик. По данным Департамента киберполиции Национальной полиции Украины, смишинг и фишинговые SMS стабильно входят в топ онлайн-угроз: пользователи получают сообщения о «заблокированной карте», «недоставленном посылке», «государственной субсидии», «выигрыше» или якобы от знакомого с просьбой одолжить деньги. Только в 2024 году средняя сумма мошеннической транзакции с платежными картами в Украине выросла на 40% и достигла более 4200 гривен, а суммарные убытки превысили миллиард гривен.

Дополнительный риск создает российско-украинская война. Россия и ее прокси-структуры имеют очевидный интерес к инфраструктуре, которая позволяет рассылать SMS и совершать звонки с «украинских» номеров — для распространения паники, дезинформации, фейковых обращений от имени военных, волонтеров или госорганов. Тот факт, что платформа ProxySmart разработана в Минске и активно продвигается в русскоязычном сегменте, не добавляет оптимизма.

Как распознать атаку через SIM-ферму и не стать жертвой

Ни одна техническая мера не отменяет основного правила: звонки и SMS стоит воспринимать критически независимо от того, с какого номера они пришли. Локальный код страны или оператора больше не является гарантией, что сообщение настоящее.

Не доверяйте знакомому виду номера. SIM-фермы дают мошенникам именно локальную «прописку». Сообщение с украинского номера вполне может быть частью автоматизированной кампании, развернутой за границей.
Следите за новыми схемами. Сегодня мошенники редко обещают «выигрыш в лотерею». Значительно чаще они маскируются под банки, «Новую почту», «Укрпочту», Киберполицию, государственные сервисы (включая «Дію»), операторов связи, работодателей, родственников и коллег.
Обращайте внимание на сигналы подделки. Безличное обращение, грамматические ошибки, сокращенные ссылки (bit.ly, cutt.ly и т.д.), странные символы в адресе (например, «roz3tka.ua» вместо «rozetka.ua»), несоответствие отправителя тексту сообщения — всё это маркеры фишинга. Никогда не переходите по ссылкам из SMS или мессенджера: если сомневаетесь, откройте официальное приложение банка или сервиса самостоятельно или позвоните на номер с обратной стороны карты.
«Срочно» — почти всегда подозрительно. Мошенники сознательно создают панику: «карту заблокировали», «посылку вернут», «родственник в больнице и нужны деньги». Именно этот эмоциональный прессинг толкает жертву к необдуманным действиям. Остановитесь, перезвоните родственнику по известному вам номеру, свяжитесь с банком через официальный канал.
Включите двухфакторную аутентификацию — но не через SMS. SMS-коды остаются одним из самых слабых способов подтверждения, особенно с учетом SIM-свопинга. Где возможно, используйте приложения-аутентификаторы или ключи доступа (passkeys).
Фиксируйте инциденты. О подозрительных сообщениях стоит сообщать Киберполицию через cyberpolice.gov.ua или по номеру 102. Это помогает отслеживать схемы и блокировать инфраструктуру.

Отдельная угроза: SIM-свопинг

Вместе с SIM-фермами стоит держать в поле зрения и другую атаку на мобильную связь — так называемый SIM-свопинг, или подмену SIM-карты. В этой схеме мошенник не арендует номера, а переводит ваш номер под свой контроль: выдает себя за абонента перед оператором и добиться переоформления SIM-карты на новую «болванку». Получив контроль над номером, он имеет короткое окно, чтобы перехватить SMS с кодами двухфакторной аутентификации и зайти в ваш банк, мессенджер или почтовый ящик.

Первый сигнал такой атаки — внезапное исчезновение мобильной связи: звонки и SMS перестают поступать без очевидных причин. В такой ситуации действовать нужно немедленно: связаться с оператором с другого номера, заблокировать SIM-карту, сообщить банк и сменить пароли к критическим сервисам. Для защиты от SIM-свопинга стоит установить у своего оператора дополнительное кодовое слово для операций с номером, включить услугу запрета дистанционной замены SIM-карты (где она доступна), а также переходить с SMS-аутентификации на приложения-аутентификаторы и ключи доступа (passkeys).

Итог

SIM-фермы превратили мошеннические SMS и звонки из разовых афер в промышленную индустрию с готовыми «коробочными» решениями для злоумышленников. Отдельные национальные запреты и ликвидации сетей помогают снижать давление, но не устраняют угрозу полностью — тем более пока значительная часть инфраструктуры размещена в юрисдикциях, которые не сотрудничают с западными правоохранителями, и продвигается среди русскоязычной аудитории. В этих условиях главным рубежом обороны остается сам пользователь: здоровая недоверчивость к любому «срочно», привычка проверять информацию официальными каналами и корректная настройка аутентификации делают атаки через SIM-фермы экономически невыгодными для мошенников.