Количество обращений Центробанка в Генпрокуратуру во II квартале 2024 года снизилось, но мошенничества меньше не стало
На фото слева направо: Ольга Баскакова (координационный центр доменов .RU/.РФ), Дмитрий Кирюшкин (BI.ZONE), Александр Дуденко (Банк России), Дмитрий Бондарь (ЗАО "Альфа-Банк", Белоруссия), Петр Зарецкий (Следственный комитет, Белоруссия), Марина Брик, (ГК "Рунити"), Станислав Гончаров (F.A.C.C.T.)
Об этом главный инженер центра взаимодействия и реагирования Банка России Александр Дуденко рассказал на конференции TLDCON 2024.
Ранее ЦБ для борьбы с мошенническими ресурсами блокировал все поддомены третьего уровня, однако теперь схема изменилась: блокируются домены второго уровня и все соответствующие поддомены. "Фактически такая блокировка более эффективная, она направлена на большее количество ресурсов. Но снижения инцидентов нет: не по суммам хищения, не по количеству доменов", - объяснил Александр Дуденко.
Мошенническая схема с доменами работает так: злоумышленники создают домен второго уровня, часто созвучный с известным брендом, а следом на него открывают множество поддоменов третьего уровня. Например, если бы мошенник захотел подделать сайт ComNews, то он мог бы дать название comnevs.ru (вместо comnews.ru). Далее он мог бы создать множество доменов третьего уровня: news.comnevs.ru, ai.comnevs.ru, ib.comnevs.ru и так далее. Также он мог бы пойти другим путем: создать домен второго уровня из случайного набора чисел, например, id475937. Тогда поддельные домены выглядели бы так: comnews.id475937.ru, cbr.id475937.ru и так далее.
Банк России получил возможность направлять информацию о мошеннических ресурсах в Генпрокуратуру и проводить внесудебную блокировку с декабря 2021 г.
С момента работы нового порядка количество обращений ЦБ в Генпрокуратуру каждый квартал росло. В I квартале 2022 г. количество обращений составило 1298, во II - 2132, в III - 2992, в IV - 4294. В I квартале 2023 г. - 6805, во II - 7166, в III - 7819, в IV - 12887. Во II квартале 2024 г. статистика обращений Центробанка в Генпрокуратуру показала существенное снижение: зафиксировано 9425 обращений. Для сравнения: в I квартале 2024 г. было 14309 обращений. Всего за два квартала 2024 г. было направлено 23734 обращений, а за весь 2023 г. - 34677 обращений. Александр Дуденко отметил, что особенно активно идет работа по блокировке ресурсов, которые зарегистрированы в иностранных доменных зонах - их более 94%.
По результатам взаимодействия ЦБ с Генпрокуратурой с марта 2022 г. по июль 2024 г. было заблокировано 10052 страниц в социальных сетях и мессенджерах, а также порядка 74 приложений.
Директор по развитию бизнеса Digital Risk Protection компании F.A.С.С.T. Станислав Гончаров также рассказал о схемах с доменами. Созвучных с брендами фишинговых доменов в I полугодии 2024 г. стало больше. Он привел статистику, согласно которой только 18,8% созвучных брендам доменные имена состоят из двух уровней. В 81% случаев созвучное наименование бренда используется на третьем уровне домена. 93,5% созвучных брендам фишинговых доменов регистрируются в доменных зонах .ru\.рф. В I полугодии 2024 г. во всех доменных зонах использовались созвучные с брендами фишинговые домены в 64% случаев. В России этот показатель составил 73%.
Станислав Гончаров обозначил проблему: регистранты, запрашивая регистрацию доменного имени, схожего с известными брендами, практически не встречаются с препятствиями. Из-за этого бренды страдают от того, что на поддельных сайтах размещается противоправный контент, либо с них переманивают в мессенджеры и другие места для совершения мошеннических действий.
"Возможно, стоит создать реестр внутри каждого регистратора или определить уполномоченное лицо, которое будет это собирать какими-то нейросетями или скорингом проверять схожесть наменования. Также необходимо передавать информацию правообладателю", - предложил Станислав Гончаров. При этом он не призывает ограничить регистрацию, а советует предупреждать администратора потенциального домена о том, что в случае нарушений домен будет заблокирован или передан обратно в административное пользование регистраторам.
"Конечно, желательно еще расширить текущий обмен, который есть с компаниями по информационной безопасности, и желательно, чтобы обмен заключался в том числе с доменами третьего уровня, потому что проблема блокировки домена второго уровня, на котором может быть 100, 200 брендов, заключается в том, что пока ты не наткнешься на действующий ресурс с контентом, очень болезненно регистратор воспринимает потенциальную реакцию со своей стороны", - сказал Станислав Гончаров.
В целом прирост фишинговых ресурсов в финансовом секторе, по словам Станислава Гончарова, в I полугодии 2024 г. по сравнению с I полугодием 2023 г. составил 26%, а по сравнению со II полугодием 2023 г. - 291%. При этом в I половине 2024 г. доля фишинговых ресурсов, нацеленных на финансовые учреждения, составила 46%.
