Домен на пропажу: мошенники нашли способ перехвата сайтов узнаваемых брендов
Крупные российские компании — в том числе банки из топ-30, сотовые операторы и онлайн-ритейлеры — забросили около 5 тыс. доменов. Их могут перехватить мошенники и создать на них фишинговые сайты, рассказали «Известиям» специалисты по информационной безопасности. Чаще всего это страницы временных спецпроектов и промоакций, которые создаются с помощью сторонних конструкторов сайтов. Когда сроки промоакций подходят к концу, компании забывают продлевать права на домены. После этого мошенники могут на законных основаниях покупать их. А затем размещать там клоны сайтов под видом известных брендов и таким образом выманивать у пользователей деньги или данные банковских карт. Люди доверяют таким сайтам, потому что в адресной строке видят знакомые названия и принимает их за официальные. Подробности проблемы и как от нее уберечься — в материале «Известий».
Всё равно его я брошу
Специалисты по информационной безопасности обнаружили около 5 тыс. заброшенных доменов, ранее принадлежавших крупным российским компаниям, в частности, банкам из топ-30, сотовым операторам и онлайн-ритейлерами. Их могут перехватывать мошенники и создавать на них фишинговые сайты, рассказали «Известиям» в компании ScanFactory. Число «бесхозных» доменов, связанных со знакомыми потребителям брендами, растет в среднем на 200 в месяц, подчеркнули там.
Чаще всего речь идет о страницах, на которых находились временные спецпроекты и промоакции. Компании размещают их не на своих основных сайтах, а на отдельных лендингах (одностраничный сайт с краткой и яркой информацией о конкретном товаре, услуге или мероприятии). Этот формат весьма популярен у маркетологов и пользователей интернета. Сами лендинги чаще всего создаются с помощью конструкторов сайтов.
— Такой подсайт привязывают к домену компании, а когда промоакция заканчивается, за «временный» веб-адрес зачастую перестают платить и его приобретают мошенники для использования в свои целях, например, фишинга, — пояснил «Известиям» генеральный директор ScanFactory Владимир Иванов.
Затем мошенники, пользуясь порталами вроде web.archive, находят, как выглядела страница промоакции, на каком конструкторе сайтов была сделана, и копируют ее. Между тем потребители, видя в адресной строке знакомое название, принимают фишинговый сайт за настоящий.
Конструкторы с подвохом
Число в 5 тыс. потенциально опасных сайтов далеко не окончательное, так как специалисты ScanFactory проверили спецпроекты, созданные с использованием лишь одного, наиболее популярного российского конструктора сайтов — Tilda. Выяснилось, что за всё время с помощью этого сервиса в интернете разместили 724 тыс. проектов. Из них половина уже неактивна. Из этого числа как раз 5 тыс. адресов когда-то принадлежали крупным, узнаваемым брендам.
— Среди тех, у кого мы обнаружили эту проблему, есть даже объекты критической инфраструктуры, — рассказал представитель ScanFactory.
«Известия» попросили специалистов по информационной безопасности продемонстрировать, как злоумышленники используют заброшенные спецпроекты в своих целях. Буквально за пять минут с помощью конструктора был создан подсайт одного из крупных медиа с липовой услугой подписки. Обычный пользователь с трудом отличит такой проект от настоящего, отметили эксперты.
— Для создания фишинговых сайтов мошенники часто используют Tilda, но лишь потому что она популярна у разработчиков, проще в освоении и не требует каких-либо навыков программирования, — сказал руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров.
Представители ScanFactory также подчеркнули, что возможности перехвата поддоменов можно найти и на порядка 80 других сервисах, например, webflow, shopify (сервис для создания интернет-магазинов), github и т.п.
«Известия» отправили запросы крупным российским компаниями из тех сфер бизнеса, которые перечислили специалисты по информбезопасности, с просьбой уточнить, как именно они защищают домены спецпроектов после окончания их срока действия. У Tilda «Известия» запросили информацию, борются ли они с созданием фишинговых сайтов при помощи их сервиса.
— Для защиты МТС от этого типа угроз мы на постоянной основе выгружаем из внутренних систем доменные зоны, а также ищем в открытых источниках домены, содержащие сочетание mts, и проверяем, кому они принадлежат. Хотя этот метод не дает 100% покрытия, он очень эффективен, — сообщил руководитель направления анализа защищенности, блока кибербезопасности МТС Алексей Кузнецов.
В пресс-службе Tele2 заявили, что разово используют ресурсы, подобные Tilda, но следят за безопасностью лендингов.
«Мегафон» для создания лендингов использует только собственные решения, имеющие высокую степень защиты, рассказали в пресс-службе сотового оператора. Аналогичным образом ответили в «Абсолют-страховании» и в Московском кредитном банке.
— Ключевые спецпроекты создаются на информационных площадках банка. Простые сайты — с использованием российских CMS-систем (компьютерная программа для управления содержимым контента. — «Известия») или конструкторов. Если требуется более сложная бизнес-логика — на собственной цифровой платформе банка, позволяющей быстро разрабатывать прикладную функциональность, — рассказали «Известиям» в пресс-службе Россельхозбанка.
При этом конструкторы, подобные Tilda, можно иногда использоваться для «быстрых» спецпроектов, когда не требуется создание сложной функциональности или обработка персональных данных, отметили в банке.
Методы защиты
Проблема с «перехватом» сайтов действительно существует. Злоумышленники таким способом привлекают жертв с помощью знакомых, привычных пользователю площадок, от которых он никак не ожидает получить вредоносный контент, рассказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
— Однако важно понимать, что сайты создаются разными способами, и от этого зависит уровень защиты. Когда компания запускает сайт самостоятельно, используя необходимые для этого инструменты, она полностью отвечает за безопасность, за обновление ПО, защищенность баз данных, — уточнил эксперт.
В случае же использования конструкторов, которые представлены на рынке в большом количестве, пользователь перекладывает часть вопросов, связанных с безопасностью, на владельца стороннего сервиса. Впрочем, популярные конструкторы сайтов, как правило, уделяет серьезное внимание вопросам информационной безопасности, обновлениям ПО и работоспособности сервиса, отметил Дмитрий Галов.
При этой модели пользователь в лице крупной компании чаще всего может создать угрозу безопасности только при компрометации своих учетных данных от личного кабинета для администрирования, сказал эксперт.
Существует несколько способов убедиться, что вы находитесь на настоящем, а не фишинговом сайте, рассказали эксперты по информационной безопасности.
Например, пользователь может отличить настоящую промоакцию от липовой, проверив информацию об актуальных активностях бренда на его основной странице в интернете или его аккаунтах в социальных сетях. Также настоящее доменное имя содержит SSL-сертификат (обозначается замком в поисковой строке. — «Известия»). Кроме того, сайт Whois позволяет определить, кто является владельцем сайта, — если эти данные скрыты или выясняется, что доменом с упоминанием бренда владеет какое-то постороннее лицо, — это повод насторожиться.
