Тревожный клик: число фишинговых сайтов за год выросло в три раза
Количество фишинговых сайтов в доменных зонах .ru и .рф в январе-феврале 2023 года составило 5,2 тыс. и выросло в три раза по сравнению с аналогичным периодом 2022-го, рассказали «Известиям» в Координационном центре доменов. Среди причин специалисты называют «неразбериху с SSL-сертификатами», которые подтверждают чистоту сайта. Она возникла после ухода из России западных удостоверяющих центров. Второй фактор — развитие технологий, которые позволяют создавать сайты без навыков программирования. Снизить число фейковых ресурсов могла бы идентификация владельцев доменов через портал «Госуслуги», полагают эксперты. В Минцифры сообщили, что такая возможность прорабатывается.
Осторожно, фишинг
В январе-феврале 2023 года в зонах .ru и .рф выявлено 5,2 тыс. фишинговых ресурсов — сайтов мошенников, которые мимикрируют под известные бренды. Это почти в три раза больше, чем за аналогичный период прошлого года (1,85 тыс.), рассказали «Известиям» в АНО «Координационный центр доменов» (администратор национальных доменов .ru и .рф. — «Известия»).
— Одной из причин этого стала неразбериха с SSL-сертификатами (ключами, подтверждающими соответствие сайта его домену и использующимися для шифрования трафика. — «Известия»), возникшая после отказа западных удостоверяющих центров от работы в нашей стране, — отметил директор АНО Андрей Воробьев.
До февраля 2022 года SSL-сертификаты выдавали зарубежные удостоверяющие центры. Значок замка слева от адресной строки сайта подтверждает наличие такого сертификата и гарантирует, что пользователь находится на чистом сайте, не представляющем опасности. Но после введения санкций зарубежные центры отказались работать со многими ресурсами — прежде всего тех крупных компаний, которые попали под ограничения. В итоге отличить настоящий сайт от фишингового стало сложнее.
— В этой «мутной воде» и пытаются «рыбачить» мошенники, — констатировал Андрей Воробьев. Впрочем, он подчеркнул, что за последний год в России начало работать несколько отечественных удостоверяющих центров и проблема постепенно теряет остроту.
Чаще всего мошенники имитируют сайты крупнейших российских банков, попавших под санкции, — Сбера, ВТБ, Альфа-банка, популярных маркетплейсов и сервисов объявлений — Ozon и «Авито», сказали специалисты Координационного центра доменов.
В Роскомнадзоре подтвердили рост числа фишинговых сайтов. В январе-феврале 2023 года ведомство удалило и заблокировало 523 мошеннических ресурса, в том числе в кредитно-финансовой сфере, за аналогичный период 2022 года — 313, сообщили «Известиям» в пресс-службе ведомства.
— Злоумышленники активно используют санкционную повестку. Например, если становятся недоступны некоторые услуги банков, они быстро создают фишинговые ресурсы, которые якобы предлагают их. Используют они и ажиотаж вокруг ухода западных ритейлеров — создают сайты, визуально похожие на крупные маркетплейсы, пытаясь завлечь выгодными предложениями покупки отсутствующих на рынке товаров. Затем выманивают личные данные, реквизиты счета или карты, — объяснил руководитель компонента Endpoint экосистемы R-Vision EVO Петр Куценко.
Рост числа сайтов-подделок подтвердили и в крупных компаниях.
— В феврале мы наблюдали всплеск активности фишинговых сайтов и блокировали их сразу после появления, — сказали «Известиям» в пресс-службе Альфа-банка.
В ВТБ отметили, что ежедневно мониторят сайты злоумышленников и блокируют их за сутки. Служба информационной безопасности Ozon совместно с подрядчиками ежедневно отслеживает фишинговые сайты и блокирует их в среднем за два дня с момента обнаружения, сообщили в пресс-службе компании. Срок жизни поддельных сайтов год к году «заметно снижается», констатировали и в «Авито».
— Доменные зоны .ru и .рф отличаются быстрой скоростью реакции — в среднем проходит 25,5 часа от подачи обращения до разделегирования мошеннического домена, — отметил Андрей Воробьев.
Методы противодействия
По мнению экспертов Координационного центра доменов, эффективной мерой противодействия мошенникам могло бы стать подтверждение паспортных данных физлица, регистрирующего доменное имя, через ЕСИА (портал «Госуслуги»).
— Сейчас при регистрации необходимо указать паспортные данные администратора домена, однако в этот момент они не проверяются, что и позволяет мошенникам регистрировать доменные имена массово. Обязательное, прописанное на законодательном уровне требование использования ЕСИА при регистрации интернет-адресов должно существенно снизить активность мошенников в российских национальных доменах, — считает Андрей Воробьев.
В пресс-службе Минцифры «Известиям» сообщили, что возможность верификации владельцев доменов сайтов через «Госуслуги» прорабатывается.
— Соответствующие предложения в закон «Об информации» уже сформированы и проходят обсуждение с заинтересованными ведомствами, — добавили в министерстве.
Быть начеку
Одной из причин роста числа фишинговых сайтов является и развитие технологий. Например, всё более широкое распространение получают конструкторы сайтов, использовать которые может любой знакомый с компьютером человек, даже не обладающий навыками программирования, объяснил руководитель направления аналитики интернет-угроз компании «РТК-Солар» Сергей Трухачев.
— В последние годы порог вхождения в киберпреступный мир существенно снизился за счет появления на рынке простых и интуитивно понятных инструментов, наличие которых делает фишинг привлекательным для широкого круга злоумышленников — при минимальных затратах он обеспечивает достаточно неплохой доход. Создатели криминального сервиса обеспечивают функционирование инфраструктуры, включающей в себя в том числе десятки, а то и сотни фишинговых сайтов, а завербованные в Сети исполнители задействуют возможности предоставленных им инструментов для совершения атак на пользователей, — сказал эксперт.
Чтобы не попасться на уловки мошенников, рекомендуется быть бдительными: с холодной головой подходить к вводу данных банковской карточки и проверять сайт, на котором это происходит, сказал Петр Куценко. Сайт должен быть полноценным, а не одностраничным. Также в адресе сайта могут быть замены букв — например, i на l или наоборот, резюмировал он. Должно сильно насторожить и отсутствие в начале адресной строки значка замка — наличие того самого SSL-сертификата.
При этом любой человек может пожаловаться на подозрительный сайт с помощью информационной системы Минцифры России «ИС Антифишинг», сказали в Роскомнадзоре. Люди, уже пострадавшие от мошенничества в интернете, для подготовки документов, необходимых для подачи от своего имени заявлений в суд, могут обратиться в Центр правовой помощи гражданам в цифровой среде. Специалисты центра оказывают юридическую помощь бесплатно, напомнили в ведомстве.