Владимир Зыков
25.05.2016

Центр реагирования на компьютерные инциденты Ru-Cert, созданный НИИ развития общественных сетей, запустит систему автоматического поиска сайтов, распространяющих фишинг через домены .ru и ".рф".

Если распространение опасного контента будет идти через специально созданные для этого сайты, то домены будут разделегированы. Об этом "Известиям" рассказал представитель Ru-Cert Дмитрий Ипполитов.

— Наша задача — не ждать, пока придет жалоба от пользователя, который уже пострадал, — зашел на поддельную страницу, например, Сбербанка и ввел там свои персональные данные, после чего номер его кредитки утек к мошенникам, — а пытаться самим такие страницы находить, — рассказал Дмитрий Ипполитов. — Наша система анализирует некоторые параметры веб-страницы и пытается определить, является это фишингом или нет.

По его словам, есть несколько причин появления зловредного контента на сайтах. Первая — взлом, в результате чего на домене была размещена страничка, через которую идет распространение вредоносного контента. В этом случае Ru-Cert сообщает о найденной проблеме хостеру или напрямую владельцу сайта. Обычно администраторы ресурса оперативно удаляют "зловреда". Вторая причина — целенаправленное создание сайта с фишингом.

— Например, был создан поддельный сайт Сбербанка, адрес которого был написан с одной измененной буквой, — рассказывает Ипполитов. — Такой домен можно сразу разделегировать, так как он специально зарегистрирован для противоправной деятельности.

Согласно пункту 5.5 "Правил регистрации доменных имен в зоне .ru и ".рф", делегирование домена может быть прекращено на основании письменного решения руководителя органа, осуществляющего оперативно-разыскную деятельность. Речь идет об управлении "К" МВД и Генпрокуратуре. Они направляют письмо регистратору доменного имени — и тот может разделегировать домен. Если он этого не сделает, то домен будет разделегирован самим КЦ.

Параллельно существует система негосударственной блокировки вредоносных сайтов. Несколько организаций — компания "Лаборатория Касперского", Group-IB, региональная общественная организация "Центр интернет-технологий"(РОЦИТ), Ru-Cert, а также НП "Лига безопасного интернета" — заключили с КЦ специальное соглашение. В "Правила регистрации" был добавлен пункт 5.7 — регистратор вправе прекратить делегирование домена при получении "мотивированного обращения организации", указанной КЦ как компетентной в определении нарушений в интернете, если обращение содержит информацию, что домен используется для фишинга, распространения вирусов или материалов с детской порнографией.

Фишинговые атаки сильнее всего распространены в России.

— Точную цифру не можем раскрыть [сколько фишинговых сайтов было найдено в том году], но счет идет на миллионы страниц в год, — сообщил контент-аналитик "Лаборатории Касперского". — Фишинговые страницы, нацеленные на русскоговорящих пользователей, могут располагаться в любой доменной зоне, не обязательно .ru. При этом в 2015 году на компьютерах пользователей продуктов "Лаборатории Касперского" было предотвращено 148,4 тыс. попыток перехода на фишинговые страницы, из них в России — 26,4 тыс.

Согласно опросу региональной общественной организации "Центр интернет-технологий" (РОЦИТ), 91% опрошенных пользователей когда-либо сталкивались с фишинговыми рассылками: 42% получали письма на электронную почту, 29% — по SMS, 20% — в мессенджерах. Кроме того, по данным "Лаборатории Касперского" за 2014 год, россияне в большей степени подвержены фишинговым атакам (17,28% от общего числа атак по всему миру).

Гендиректор КЦ Андрей Воробьев уверен, что если поиск будет запущен, то Ru-Cert станет первой аккредитованной организацией, которая включила автоматизированную систему поиска фишинга.

Источник на рынке поисковых сетей рассказал, что создать свои поиск с нуля — это очень дорогое занятие и компаний, которые в России могут его создать, очень мало. Скорее всего, речь идет о создании системы на базе популярной общедоступной поисковой системы, например "Яндекс". Самое главное, что нужно будет сделать, — это научить систему понимать, что является фишингом, а что нет. Для этого нужна большая база примеров.

На государственном уровне сегодня работает закон, который позволяет Роскомнадзору блокировать сайты с определенным контентом, признанным запрещенным, например, детской порнографией, пропагандой суицида или продажей наркотиков. К такой категории контента фишинг не относится.

Член комитета по безопасности и противодействия коррупции Илья Костунов рассказал, что для борьбы с фишингом администраторы разных доменных зон назначают компетентные организации, которые реагируют на жалобы пользователей о сайтах с фишингом и имеют право отправить мотивированное письмо регистратору с просьбой разделегировать домен.

— Конечно же, нам не хватает отдельного законодательного блока по противодействию фишингу, — считает Илья Костунов.— Сегодня этим занимаются частные организации. Но так как борьба с фишингом подразумевает меры принуждения, я за то, чтобы монополия на применение силы в интернете была за государством. Сегодня же правоприменение силы в интернете принадлежит и ICANN, и компетентным организациям, и где-то в конце списка — Роскомнадзору.