Онлайн-сервисы, службы доставки и финансовые институты. F.A.C.C.T назвал основную тройку фишинговых ресурсов в зоне .ru
Данные исследования фишинговых сайтов в период с января по август 2023 г. привел директор по развитию бизнеса (DRP) ИБ-компании F.A.C.C.T. Станислав Гончаров в ходе 16-й Международной конференции администраторов и регистраторов национальных доменов верхнего уровня стран СНГ, Центральной и Восточной Европы TLDCON 2023.
"Основная тройка все та же: онлайн-сервисы, службы доставки и финансовые учреждения. На удивление, платежные сервисы и букмекеры ушли на второй план. Так что у [интернет-мошенников] есть четкая схема, по которой они действуют, понимая, что российские бренды, занимающиеся импортозамещением различных зарубежных брендов, взяли на себя возможность развития, привлечения большей аудитории и работы по России и странам СНГ, принимают параллельно на себя вот этот большой удар, связанный с паразитированием на бренде, на различном контенте", - сказал Станислав Гончаров.
По его словам, с начала 2023 г. компания заблокировала более 10 тыс. фишинговых доменов, из них 35% пришлось на онлайн-сервисы, 28% - на финансовые учреждения и 21% - на службы доставки. Он отметил, что доля фишинга в зоне .ru составляет всего 5% от общего числа обнаруженных фишинговых страниц, а в зоне .РФ - менее 1% от этих 5%, всего около 50 доменных имен.
Станислав Гончаров подчеркнул, что всего зафиксирована активность около 300 скам-группировок, которые состоят в основном из школьников, мечтающих к 20 годам жить в "Москва-Сити" и ездить на дорогих спорткарах, не понимая, что они занимаются киберпреступлениями".
Станислав Гончаров рассказал, что фишинговые атаки на пользователей мессенджеров Telegram и WhatsApp проводились в основном под видом просьб поддержать "племянницу" на музыкальном или танцевальном конкурсе. "Тот, кто переходит на такого вида атаку, сталкивается с необходимостью ввести свой номер телефона и код, который придет в Telegram. Таким образом происходит "угон" Telegram-канала. После "угона" канала злоумышленники делают эту же рассылку по всем контактам захваченного пользователя. Работают все по шаблонам, у всех есть скрипты. Они все автоматизированы, нужно просто поставить их на свои рельсы и получать заработок. Нажимаете "перейти к голосованию", попадаете на авторизацию через мессенджер, вводите свои данные и теряете доступ к своему аккаунту", - рассказал Станислав Гончаров.
По его словам, мошенники подстраивают фишинговые объявления под интересы пользователей. "Если вы проявляете интерес к онлайн-играм, вам может быть предложена бонусная игровая валюта, игровые ценности и прочее. Если вы одинокий молодой человек, вам могут быть предложены фотографии различных дам - для получения нужно перейти по ссылке и ввести свой номер телефона", - привел пример Станислав Гончаров.
Он добавил, что у некоторых хостинг-провайдеров до 80% пользователей занимаются созданием фишинговых сайтов.
Хотели сэкономить
Руководитель отдела отраслевых архитекторов ИБ-компании Innostage Максим Хараск считает, что распространенность фишинга с использованием поддельных сайтов популярных российских брендов связана с желанием пользователей сэкономить на покупках.
"Повышение цен в привычных для всех магазинах вынуждает пользователей искать другие способы покупки товаров и сервисов. Даже "Вкусно и точка" попадает под фишинг, и пользователи пробуют со скидками заказывать еду через сторонние сайты, а не через основное приложение. Фишинг с целью получения денег сейчас остался актуальным и легкодоступным, а вот фишинговые сайты с целью получения персональных данных уже не нужны", - отметил Максим Хараск.
По его словам, чтобы защититься от мошенничества, пользователям нужно внимательнее проверять URL-адрес ресурса, если он запрашивает какую-либо информацию, а также не переходить по предоставленным ссылкам от пабликов или знакомых, по ссылке в рекламе. "Если есть сомнение в ресурсе или сайт просит внести ваши персональные или финансовые данные, находить необходимый сайт через поисковик отдельно, так вы снизите вероятность маскировки сайта", - добавил представитель Innostage.
Максим Хараск считает, что фишинговые ссылки и QR-коды для доступа к мессенджеру сейчас только набирают популярность и в ближайшее время спрос на них со стороны заказчиков мошеннических схем не снизится. "QR-коды для доступа в родительские и домовые чаты будут набирать популярность. Фишинговые ресурсы с оказанием сервисов будут востребованы до тех пор, пока грамотность конечных пользователей сильно не вырастет", - отметил руководитель отдела отраслевых архитекторов.
При этом, по его словам, использование массового фишинга для доступа к личной почте или аккаунтам в соцсетях сейчас финансово невыгодно. "Фишинговые доменные имена могут жить несколько часов/дней, и выгодней получить финансовую прибыль сразу от данных карточки", - считает Максим Хараск.
Риски выросли
Руководитель направления экспертизы и аналитики компании "Гарда Технологии" (входит в ГК "Гарда") Алексей Семенычев считает, что высокая фишинговая активность традиционна для онлайн-сервисов. "В 2020 г. доля этого сегмента составляла 40%. А вот большой процент атак на финансовые организации связан с тем, что с уходом иностранных поставщиков ssl-сертификатов стало значительно проще выдать фишинговый сайт за сайт легитимной организации. Более того, многие финансовые организации лишились доступа к магазинам приложений Apple и Google, что сделало клиентов этих компаний еще более уязвимыми из-за проблем с доступом к сервисам этих организаций", - отметил Алексей Семенычев.
По его словам, большой объем атак на службы доставки вполне объясним тем, что в России уже не первый год наблюдается рост интернет-продаж. "Например в 2022 г. рост продаж товаров повседневного спроса в России был в пять раз выше, чем в мире. Покупки в онлайн-магазинах и маркетплейсах стали для россиян не разовым мероприятием, а обыденностью. Граждане охотнее и с меньшим подозрением вводят свои платежные данные на разных сервисах доставки, что создает для злоумышленников благодатную почву для хищения этих данных. В целом можно сказать, что популярность этих сфер обусловлена высокой вероятностью монетизировать злонамеренную активность", - пояснил руководитель направления экспертизы и аналитики "Гарда Технологии".
По его словам, универсального способа защиты от фишинга не существует, однако можно снизить риски кражи финансовых и персональных данных. "Фишинг направлен на быстрое получение средств, а значит, цепочки получения финансовой информации от клиента достаточно короткие. И здесь можно порекомендовать минимизировать финансовые данные, оставляемые на разных ресурсах, не вводить данные платежных карт, а использовать оплату по СБП или использовать карты маркетплейсов для оплаты на них. Оплачивать доставку по факту. Использовать отечественный браузеры с вшитыми сертификатами Минцифры для работы с сайтами государственных и финансовых учреждений в России. Устанавливать и обновлять мобильные банковские приложения только из доверенных магазинов приложений для мобильных устройств или с сайтов самих банков. Обращать внимание, если онлайн-сервис вдруг запрашивает новые данные или сигнализирует, что у вашего аккаунта происходят какие-то изменения. Эти методы не гарантируют защиту от фишинга, но снижают вероятность успешной атаки на вас", - отметил Алексей Семенычев.