Испания выдала США предполагаемого администратора Market0Day и Spoxy. Через эти площадки продавали фишинговые наборы и доступы

Американские власти добились экстрадиции 26-летнего Abdellah Belmili из Испании. Он также известен под именами Dila Belmili и Spox. Его обвиняют в участии в схеме банковского мошенничества и управлении киберкриминальными маркетплейсами Market0Day и Spoxy. В деле фигурируют около 5 600 жертв и примерно $900 тыс. поступлений на связанный счёт. 

Максимальное наказание по делу — до 30 лет лишения свободы. Дело находится на стадии обвинения, а виновность должен установить суд.

Market0Day работал как площадка для продажи инструментов кибермошенничества. Американское следствие считает, что Belmili администрировал её с сентября по декабрь 2020 года.

На такой площадке покупатель мог не писать код, не поднимать сервер и не разбираться в деталях банковского фишинга. Достаточно было купить готовый набор: поддельную страницу входа, шаблоны писем или SMS, инструкции и инфраструктурный доступ. Это снижало порог входа в преступную схему: вместо технической подготовки нужен был бюджет и желание запустить рассылку.

Следователи закупили на Market0Day фишинговый набор под JPMorgan Chase и доступ к скомпрометированному почтовому серверу. Почтовые фильтры чаще доверяют уже существующим доменам и серверам с историей.

В материалах дела также фигурируют крупные финансовые организации: American Express, Bank of America, JPMorgan Chase, Wells Fargo и банки из Великобритании. Речь идёт о фишинговых схемах, которые использовали бренды банков для обмана клиентов.

После интереса правоохранителей к Market0Day администратор под ником Spox заявил, что больше не управляет площадкой. Затем появилась новая площадка — Spoxy.

Spoxy предлагала услуги массовых SMS-рассылок. На криминальном рынке это важная часть фишинга. Пользователь получает сообщение якобы от банка, службы доставки, платёжного сервиса или госструктуры, переходит по ссылке и оставляет данные карты, логин от интернет-банка или код подтверждения.

SMS-фишинг часто называют смишингом. По сути это тот же фишинг, только каналом становится не электронная почта, а телефонное сообщение. В таких атаках ставка делается на скорость реакции: «подтвердите операцию», «посылка задержана», «карта заблокирована», «войдите в кабинет». Человек видит короткий текст, торопится и не проверяет ссылку.

В деле Belmili такая услуга важна как часть готовой преступной цепочки. Фишинговая страница собирает данные, почтовый сервер помогает доставлять письма, SMS-рассылка приводит жертв, а маркетплейс соединяет продавцов и покупателей.

Инкриминируемые эпизоды относятся в основном к 2020–2023 годам. Экстрадиция произошла позже. Это нормально для международных кибердел: расследование может длиться годами, особенно когда фигурант живёт за пределами США, инфраструктура находится в разных странах, деньги проходят через платёжные сервисы и криптовалюту, а доказательства собирают по запросам к провайдерам. США в последние годы активно используют экстрадицию по киберделам. 

Исследователь Luke Leal публиковал OSINT-разбор, где связывал ник Spox с именем Dila Belmili и показывал следы в фишинговых наборах и открытых профилях.

Правоохранители всё чаще закрывают не только отдельных исполнителей, но и инфраструктуру: форумы, магазины, платёжные витрины, сервисы хостинга, прокси, домены и каналы связи. В январе 2025 года международная операция ударила по Cracked и Nulled — двум крупным форумам, где продавались украденные данные, вредоносные инструменты и услуги для киберпреступников. В операции участвовали США, Румыния, Австралия, Франция, Германия, Испания, Италия и Греция.