Сразу несколько крупных компаний стали лидерами по числу поддельных сайтов, которые активно продвигают мошенники, рассказали «Известиям» в Координационном центре доменов .RU/.РФ. Чаще всего за первое полугодие 2024 года имитировали ресурсы «Сбера» и «Юлы», а также Альфа-банка, Telegram, СДЭК, Booking, ВТБ и трех маркетплейсов. Чтобы не попасться на уловку злоумышленников, пользователям не стоит оставлять личные данные на подозрительных и неофициальных веб-сайтах, порекомендовали эксперты. О том, как преступники воруют данные россиян, — в материале «Известий».
Подделка сайтов
В первом полугодии 2024 года мошенники чаще всего подделывали ресурсы «Сбера» и «Юлы», сообщили «Известиям» в Координационном центре доменов .RU/.РФ. Кроме них, в топ-10 брендов, используемых для фишинга в Рунете, вошли Альфа-банк, Telegram, СДЭК, Booking, ВТБ и три крупнейших маркетплейса.
За шесть месяцев в зонах .RU и .РФ в рамках проекта «Доменный патруль» было заблокировано более 4,2 тыс. фишинговых доменов, имитировавших ресурсы «Сбера», 4 тыс. поддельных сайтов «Юлы», 1,3 тыс. — у Альфа-Банка. А также 792 фишинговых домена Telegram, 455 подделок СДЭК, 271— Booking и 130 — ВТБ. Также в рейтинг попали три крупнейших маркетплейса — общее число фишинговых сайтов у них составило почти 5 тыс.
При этом по сравнению с 2023 годом «Сбер» переместился со второго на первое место и в этом году впервые в топ-10 фишинговых ресурсов попали СДЭК и ВТБ.
— Но в целом стоит отметить, что темпы роста фишинга в Рунете снижаются, — отметили в Координационном центре доменов. — За шесть месяцев число обращений компетентных организаций к российским регистраторам по фишингу выросло на 16%. В то время как годом ранее за аналогичный период число обращений увеличилось в четыре раза.
Старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова добавила, что, по их данным, в первом полугодии 2024 года количество попыток перехода российских пользователей на различные фишинговые ресурсы, мимикрирующие под Telegram, увеличилось почти на 22% по сравнению с аналогичным периодом прошлого года.
По данным BI.ZONE Brand Protection, в 2023 году двойники, созданные мошенниками, нашлись у 90% банков — лидеров клиентского рейтинга, который рассчитывается на основании отзывов пользователей. К примеру, «Сбер» в этом году выявил более 4,5 тыс. мошеннических ресурсов, маскирующихся под бренд банка, за год эта цифра составила 11,5 тыс.
— Количество фишинговых сайтов зависит от популярности каждого банка, а также ряда других факторов, — отметил руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин. — Мошенники за месяц могут создать до нескольких сотен поддельных ресурсов одной компании.
«Известия» направили запросы во все компании, сайты которых чаще всего подделывают.
Ведущий инженер по информационной безопасности СДЭК Денис Бакшун рассказал «Известиям», что компания привлекает внешних специалистов для отслеживания фишинговых сайтов и защиты бренда.
— Мониторинг выполняется круглосуточно, — подчеркнул он. — При обнаружении таких ресурсов специалисты взаимодействуют с хостингами, на которых размещены эти сайты, и предоставляют доказательства фишинговой активности для их блокировки.
Множество схем
Топ имитируемых мошенниками брендов показывает, что они выбирают наиболее популярные у россиян компании, банки и интернет-сервисы, ориентируясь как на размер их аудитории, так и на высокий уровень доверия этим брендам, подчеркнул руководитель проектов Координационного центра доменов .RU/.РФ Евгений Панков.
— Участники проекта «Доменный патруль» делают всё возможное, чтобы пресечь действия мошенников и оперативно заблокировать вредоносные домены, — отметил он. — И здесь мы достигли значительных результатов: благодаря улучшениям автоматизированной системы прекращения делегирования вредоносных доменов в Рунете в первом полугодии 2024 года среднее время блокировки снизилось с 21,5 до 16 часов, при этом в первые 12 часов блокируется свыше 61% противоправных доменов.
Сейчас злоумышленники активно используют сезонность и новостную повестку, отметил руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин.
— В начале лета мы зафиксировали рост мошеннических схем, связанных с продажей ответов на ЕГЭ/ОГЭ, — сказал он. — Помимо этого, злоумышленники используют схемы с обещанием быстрых гарантированных выплат. Среди них — инвестиционные опросы, лотереи, «возврат НДС».
Резкий рост фишинговых страниц с обещаниями «выплат НДС» BI.ZONE Brand Protection обнаружил в апреле 2024 года. В I квартале этого года было зафиксировано в семь раз больше таких ресурсов, чем за аналогичный период 2023 года. При реализации этой схемы мошенники получали персональные данные и денежные средства жертв.
— Еще одна популярная схема — кража аккаунтов, добавил Дмитрий Кирюшкин. — Это обусловлено растущей популярностью мессенджера Telegram. Взломанные аккаунты становятся источником ценной информации. В папке «Избранное» мошенники могут найти пароли, данные банковских карт и фото документов, которые после используют для дальнейших мошеннических действий. За первое полугодие 2024 года специалисты BI.ZONE Brand Protection зафиксировали более 16 тыс. таких случаев.
Также мошенники стали часто использовать тему криптовалют для прикрытия фишинга — это подтверждает недавний рост мошеннических ресурсов перед листингом Notcoin. Среди причин: постоянное увеличение аудитории Telegram и рост интереса пользователей к криптовалюте.
По данным центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», схемы злоумышленников чаще связаны со взломом соцсетей и мессенджеров, фейковыми акциями и опросами от различных брендов.
Там отметили, что большая часть фишинговых сайтов приходится на сферу электронной коммерции. Также стали чаще встречаться фейковые сайты, которые используются для распространения вредоносного ПО — например, программы удаленного администрирования компьютера, «закамуфлированные» под приложения техподдержки российских банков. В большинстве случаев фишинг проявляется в виде почтовых рассылок и фейковых сайтов.
Как не стать жертвой
Фишинг остается одной из наиболее актуальных киберугроз, указала Ольга Свистунова.
— В России мы уже длительное время наблюдаем, в частности, рост количества фишинговых атак на пользователей Telegram, — отметила она. — В этих случаях злоумышленники чаще всего пытаются украсть учетные данные от личных аккаунтов потенциальных жертв.
Пользователи должны проявлять бдительность и не доверять заманчивым письмам и предложениям, даже если они приходят от известных компаний или сервисов, подчеркнул Евгений Панков.
— Для того чтобы обезопасить себя, свои данные и средства, нужно соблюдать разумную осторожность и проверять письма, приходящие от имени банка или маркетплейса, — сказал он. — Доменное имя отправителя и открываемых из письма ссылок должно точно соответствовать домену сервиса.
Также с помощью бесплатного сервиса Координационного центра WHOIS можно проверить легитимность домена: узнать дату его регистрации, поскольку настоящие ресурсы работают много лет, а мошеннические зарегистрированы недавно.
— А при получении писем/сообщений от маркетплейсов и онлайн-сервисов важно не переходить для обсуждения заказов во внешние мессенджеры или чат-боты, — добавил эксперт.
Жертвой злоумышленников может стать любой пользователь. Мошенники при реализации своих схем активно используют бренды банков и площадок объявлений. Злоумышленники используют фишинговые сайты и фейковые приложения для сбора персональных данных и последующего хищения денег, добавил Дмитрий Кирюшкин.
Как правило, пользователя под тем или иным предлогом заманивают на фишинговый ресурс, где нужно ввести свои конфиденциальные данные, рассказала Ольга Свистунова.
— Эти данные затем уходят злоумышленникам, — отметила она. — При этом выглядеть поддельные страницы могут очень правдоподобно, однако название фишингового сайта в адресной строке обязательно будет отличаться от оригинального.
Чтобы не попасться на уловки злоумышленников, эксперты Solar AURA рекомендуют: пользоваться исключительно официальными ресурсами, не предоставлять личные данные на подозрительных и неофициальных веб-сайтах, использовать антивирусное программное обеспечение для дополнительной защиты от вредоносных программ и фишинговых атак.