Оборот не туда: число фишинг-ресурсов в 2020 году выросло на 118%
В 2020 году в России появились целые группировки мошенников, которые распространяют ссылки на фишинговые сайты: до этого злоумышленники действовали по отдельности. Кроме того, киберпреступники автоматизировали атаку на бренд и заново создают поддельные сайты даже после блокировки. Об этом тренде говорится в ежегодном отчете Group IB (есть у «Известий»). В компании зафиксировали двукратный (на 118%) рост числа фишинговых ресурсов. Чаще всего мошенники подделывают сайты банков, страховых, ритейла, госорганов и логистических компаний, а в преддверии «черной пятницы» большинство фейков приходится на сайты, продающие электронику, бытовую технику и брендовую одежду, рассказали «Известиям» эксперты.
Объединили усилия
С июля 2019-го по июнь 2020 года было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем в предыдущем отчетном периоде. Об этом говорится в ежегодном отчете компании Group IB, которая специализируется на кибербезопасности. Компания раскрывает данные в абсолютных числах только за девять месяцев нынешнего года: CERT Group IB заблокировал 14 802 фишинговых ресурса, нацеленных на хищение денег и персональной информации посетителей сайтов (логины, пароли от аккаунтов и интернет-банков, с помощью которых можно получить доступ ко всем средствам, а также данные банковских карт, позволяющие делать покупки в интернете).
Основная причина взрывного роста такого рода обмана — пандемия, которая активно способствовала перетоку пользователей в интернет. По данными компании, больше всего фишинговых ресурсов за исследуемый период пришлось на онлайн-сервисы (40%), финансовые учреждения (15%) и почтовые сервисы (16%).
Трендом этого года стало использование одноразовых ссылок: пользователь получает уникальный адрес страницы, который становится неактивным после первого открытия, отмечают исследователи Group IB. Это не позволяет собрать доказательную базу, упрощающую процесс блокировки мошеннического ресурса. Другая особенность обмана в 2020-м, которая характерна именно для России, заключается в реализации «партнерских программ» со стороны мошенников: злоумышленники стали объединяться, чтобы охватить большее число жертв.
«Задача партнеров — распространять ссылки среди как можно большей аудитории. А организаторы партнерской программы создают веб-страницы, принимают платежи и обеспечивают отмывание денежных средств. Например, в рамках одной из партнерских программ за небольшой период времени было создано более 12 тыс. аккаунтов для приема похищенных средств», — поясняют в Group IB.
В исследовании подчеркивается, что для обмана жертвы с ней взаимодействует сразу несколько социальных инженеров, которые создают атмосферу легитимности. Координация атак зачастую совершается с помощью специальных ботов в Telegram: например, один из них предназначен для рекрутинга участника кибергруппы, другой — для отображения информации об успешных хищениях, третий — для генерации фишинговых ссылок. На подпольных форумах есть предложения «фишинга как сервиса», что позволяет легко масштабировать технику обмана, отмечают специалисты.
Кроме того, в Group IB добавили, что в предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и быстро переключались на другие бренды, тогда как на сегодняшний день они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.
Мошенническая повестка
Для 2020 года действительно характерен рост показателей фишинга более чем в два раза, оценил директор департамента информационной безопасности банка «Открытие» Илья Сулоев. По статистике кредитной организации, большинство сайтов маскируется именно под легитимные ресурсы банков. Помимо ввода платежных реквизитов мошеннические сайты стали требовать установки программ удаленного доступа или с наличием вредоносного кода, подчеркнул Илья Сулоев.
Клиенты стали сталкиваться с фишинговыми ресурсами чаще, что происходит из-за увеличения мошеннических операций при интернет-эквайринге, отметил начальник департамента кибербезопасности банка «Зенит» Олег Волков. По его оценкам, активнее всего подделке поддаются страницы провайдеров услуг и интернет-магазинов, что особенно часто встречается во время пандемии.
Мошенники подделывают сайты банков, страховых компаний, ритейла, государственных ресурсов и логистических компаний, поскольку полученные сведения (данные о картах) легче всего монетизировать, знает руководитель аналитического центра Zecurion Владимир Ульянов.
Кроме того, злоумышленники всегда следят за повесткой и адаптируют поддельные сайты под последние тренды. Например, в преддверии «черной пятницы» чаще всего мошенники копируют ресурсы магазинов, торгующих электроникой, заявил «Известиям» заместитель гендиректора Infosecurity a Softline Company Игорь Сергиенко.
— Вторыми по числу фейковых двойников стали продавцы бытовой техники; третьими — магазины брендовой одежды и украшений; четвертыми — бижутерия, косметика и парфюмерия; на пятом месте — товары для спорта и отдыха, — рассказал Игорь Сергиенко.
Он добавил, что всплеск регистрации новых доменных имен в преддверии крупных распродаж случается регулярно: в этот период в зонах .ru и .com ежедневно появляется 600–800 новых ресурсов, содержащих слова store и shop. Порядка 10% из всех новых созданных сайтов, эксплуатирующих тему продаж и скидок, оказываются мошенническими, поделился статистикой эксперт.
Компании, сайты которых чаще всего подделывают, стараются бороться с мошенниками, повышая киберграмотность клиентов и предупреждая их об угрозах, знает ведущий эксперт «Лаборатории Касперского» Сергей Голованов. Он подчеркнул, что нужно тщательно проверять ссылку, потому что в мошеннической может быть изменена всего одна буква, уточнять информацию о выплате или акции по телефону, а для шопинга в интернете лучше завести отдельную карту.
Если клиент по неосмотрительности все же ввел данные платежной карты на поддельном ресурсе, то необходимо в обязательном порядке и безотлагательно ее заблокировать и заказать выпуск новой, отметили в Промсвязьбанке. «Известия» направили запрос в Минцифры о фишинговых ресурсах.
