Домен до степени смешения
Курьерские службы ищут способы борьбы с фальшивыми сайтами
Службы доставки начали разными способами бороться с появившейся на фоне самоизоляции волной фишинговых сайтов. Например, ПЭК массово скупает домены, похожие на название ее сайта, чтобы опередить мошенников. Другие компании считают это «бессмысленной тратой денег» и идут по пути блокировки мошеннических ресурсов.
Служба курьерской доставки ПЭК выкупила 48 доменов в зоне .ru и других, чтобы мошенники не смогли создать на них фишинговые сайты, рассказал “Ъ” директор департамента безопасности ПЭК Алексей Персиянов. Такую практику используют крупные международные компании, в таком случае каждый вновь зарегистрированный мошенниками домен имеет все менее похожий на оригинальный адрес и подделка становится более очевидной, пояснил он.
Число регистраций фишинговых доменов, направленных на бренды курьерских служб, по данным Group-IB, за последние полгода выросло в семь раз. Фишинговые сайты ПЭК стали появляться с февраля, рассказали в компании и подтверждают в Infosecurity a Softline, где насчитали более 25 сайтов, имитирующих ПЭК (см. “Ъ” от 1 июня). За время пандемии были заблокированы 12 фишинговых сайтов ПЭК, обнаруженных компанией.
Пакетная покупка доменов — стандартная практика защиты от мошенников за рубежом, подтверждает гендиректор 101domain.ru Денис Ротанов, но в России мало кто так делает.
Если воспользоваться оптовыми тарифами регистратора, средняя цена на домен на вторичном рынке приблизительно составит 10 тыс. руб., по розничным расценкам — от 10 тыс. до 48 тыс. руб., за исключением наиболее известных брендов, оценивает он. Если речь о первичном рынке, то это около 1 тыс. руб. за адрес в российских доменных зонах и 1,5–2 тыс. руб. в других, добавляет гендиректор Reg.ru Алексей Королюк.
Практика покупки схожих доменов распространена во многих международных компаниях, включая поисковые системы, социальные сети, торговые площадки, говорит менеджер группы по оказанию услуг в кибербезопасности и цифровой криминалистике KPMG в России и СНГ Сергей Белов. Это позволяет не потерять посетителей, которые могли ошибиться в написании сайта, и обезопасить их от фишинговых атак, поясняет он. Например, Сбербанк часто регистрирует несколько доменов со схожими именами для защиты бизнеса и клиентов, подтвердили в его пресс-службе.
Но другие службы доставки пока не считают скупку доменов эффективным решением.
Схожих сочетаний огромное количество, выкупить все просто невозможно, это бессмысленная трата бюджета, категоричен IT-директор Boxberry Сергей Калегин. По его мнению, гораздо эффективнее, например, услуги специализированных сервисов, которые позволяют блокировать фишинговые сайты за несколько дней. В среднем в Boxberry выявляют 100–115 фишинговых доменов каждые десять дней, заблокировать удается около 280 в месяц.
Практики покупки схожих доменов нет и в СДЭК, в компании объясняют это тем, что в последнее время число мошеннических доменов растет в геометрической прогрессии. СДЭК сотрудничает с Group-IB, чтобы обнаружить и ликвидировать такие сайты до того, как ими успеют воспользоваться клиенты, писал “Ъ” 1 июня.
Если бы злоумышленникам нужно было создать полноценный фишинговый ресурс крупной компании, скупка доменов могла бы быть полезной, полагает ведущий аналитик Infosecurity a Softline Company Александр Вураско.
Однако фейковые сайты курьерских служб обычно используются в схеме с мошенничеством на крупных торговых площадках, поэтому с доменами в этом случае можно фантазировать как угодно, рассуждает он.
Скупка доменов не решит проблему с фишинговыми сайтами, потому что ее корень лежит в социальной инженерии, а не в схожести доменных имен, говорят в сервисе «Юла», отмечая, что блокируют подозрительные ссылки и предупреждают пользователя, когда его убеждают продолжить общение в стороннем мессенджере. Там считают, что именно невозможность увести коммуникации с потенциальной жертвой за пределы сервиса должна свести шансы мошенников к нулю.