Количество обращений Центробанка в Генпрокуратуру во II квартале 2024 года снизилось, но мошенничества меньше не стало
На фото слева направо: Ольга Баскакова (Координационный центр доменов .RU/.РФ), Дмитрий Кирюшкин (BI.ZONE), Александр Дуденко (Банк России), Дмитрий Бондарь (ЗАО "Альфа-Банк", Белоруссия), Петр Зарецкий (Следственный комитет, Белоруссия), Марина Брик (ГК "Рунити"), Станислав Гончаров (F.A.C.C.T.)
Об этом главный инженер центра взаимодействия и реагирования Банка России Александр Дуденко рассказал на конференции TLDCON 2024.
Ранее ЦБ для борьбы с мошенническими ресурсами блокировал все поддомены третьего уровня, однако теперь схема изменилась: блокируются домены второго уровня и все соответствующие поддомены. "Фактически такая блокировка более эффективная, она направлена на большее количество ресурсов. Но снижения инцидентов нет: не по суммам хищения, не по количеству доменов", - объяснил Александр Дуденко.
Мошенническая схема с доменами работает так: злоумышленники создают домен второго уровня, часто созвучный с известным брендом, а следом на него открывают множество поддоменов третьего уровня. Например, если бы мошенник захотел подделать сайт ComNews, то он мог бы дать название comnevs.ru (вместо comnews.ru). Далее он мог бы создать множество доменов третьего уровня: news.comnevs.ru, ai.comnevs.ru, ib.comnevs.ru и т.д. Также он мог бы пойти другим путем: создать домен второго уровня из случайного набора чисел - например, id475937. Тогда поддельные домены выглядели бы так: comnews.id475937.ru, cbr.id475937.ru и т.д.
Банк России получил возможность направлять информацию о мошеннических ресурсах в Генпрокуратуру и проводить внесудебную блокировку с декабря 2021 г.
С момента работы нового порядка количество обращений ЦБ в Генпрокуратуру каждый квартал росло. В I квартале 2022 г. количество обращений составило 1298, во II - 2132, в III - 2992, в IV - 4294. В I квартале 2023 г. - 6805, во II - 7166, в III - 7819, в IV - 12 887. В I квартале 2024 г. было 14 309 обращений, а во II квартале 2024 г. статистика обращений Центробанка в Генпрокуратуру показала существенное снижение: зафиксировано 9425 обращений. Всего за два квартала 2024 г. направлено 23 734 обращений, а за весь 2023 г. - 34 677 обращений. Александр Дуденко отметил, что особенно активно идет работа по блокировке ресурсов, которые зарегистрированы в иностранных доменных зонах - их более 94%.
По результатам взаимодействия ЦБ с Генпрокуратурой с марта 2022 г. по июль 2024 г. заблокировано 10 052 страниц в социальных сетях и мессенджерах, а также порядка 74 приложений.
Директор по развитию бизнеса Digital Risk Protection компании F.A.С.С.T. Станислав Гончаров также рассказал о схемах с доменами. Созвучных с брендами фишинговых доменов в первом полугодии 2024 г. стало больше. Он привел статистику, согласно которой только 18,8% созвучные брендам доменные имена состоят из двух уровней. В 81% случаев созвучное наименование бренда используется на третьем уровне домена. 93,5% созвучных брендам фишинговых доменов регистрируются в доменных зонах .ru/.рф. В первом полугодии 2024 г. во всех доменных зонах использовались созвучные с брендами фишинговые домены в 64% случаев. В России этот показатель составил 73%.
Станислав Гончаров обозначил проблему: регистранты, запрашивая регистрацию доменного имени, схожего с известными брендами, практически не встречаются с препятствиями. Из-за этого бренды страдают от того, что на поддельных сайтах размещается противоправный контент либо с них переманивают в мессенджеры и другие места для совершения мошеннических действий.
"Возможно, стоит создать реестр внутри каждого регистратора или определить уполномоченное лицо, которое будет это собирать какими-то нейросетями или скорингом проверять схожесть наименования. Также необходимо передавать информацию правообладателю", - предложил Станислав Гончаров. При этом он не призывает ограничить регистрацию, а советует предупреждать администратора потенциального домена, что в случае нарушений домен будет заблокирован или передан обратно в административное пользование регистраторам.
"Конечно, желательно еще расширить текущий обмен, который есть с компаниями по информационной безопасности, и желательно, чтобы обмен заключался в том числе с доменами третьего уровня, потому что проблема блокировки домена второго уровня, на котором может быть 100, 200 брендов, заключается в том, что пока ты не наткнешься на действующий ресурс с контентом, очень болезненно регистратор воспринимает потенциальную реакцию со своей стороны", - сказал Станислав Гончаров.
В целом прирост фишинговых ресурсов в финансовом секторе, по словам Станислава Гончарова, в первом полугодии 2024 г. по сравнению с первым полугодием 2023 г. составил 26%, а по сравнению со вторым полугодием 2023 г. - 291%. При этом в первой половине 2024 г. доля фишинговых ресурсов, нацеленных на финансовые учреждения, составила 46%.