Хакеры нащупали точку роста
Фишинг переходит с доменов .ru
В России растет количество фишинговых ресурсов — сайтов, маскирующихся под банки, сервисы продажи билетов и т. д. для кражи средств пользователей, в малоизвестных доменных зонах (.ml, .tk и др.). При этом такие ресурсы на .ru встречаются все реже. Фишинговые сайты на «экзотических» доменах легче и дешевле оформить, а также сложнее заблокировать, отмечают эксперты.
По итогам первого квартала 2023 года в России было удалено и заблокировано более 7,2 тыс. фишинговых ресурсов, за аналогичный период прошлого года их количество не превышало 2 тыс., рассказали “Ъ” в Роскомнадзоре.
При этом, добавили в ведомстве, наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменную зону .com (52%), на втором месте — .ru (13%), на третьем месте — .xyz и .site (8%).
Оставшаяся доля распределялась между доменами .top, .io, .net, .pro, .ws. Блокировкой фишинговых сайтов занимается и Минцифры через систему «Антифишинг», которая работает с июня 2022 года. В министерстве “Ъ” заявили, что ведут борьбу с фишингом во всех доменных зонах и в зоне .ru «фишинга становится меньше».
В компаниях, занимающихся обеспечением кибербезопасности, тенденцию подтверждают. В «Лаборатории Касперского» говорят, что с начала 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось именно на доменную зону .com (48%), на втором месте — .ru (12%), на третьем — .ws (6%). Оставшаяся доля распределялась между доменами .top, .site, .io, .xyz, .net, .pro. Эксперты F.A.C.C.T. (бывшая Group-IB) также считают, что сейчас наблюдается изменение зон регистрации фишинговых доменов: на .ru количество фишинга год к году уменьшилось с 5,2% до 4,8%. В зоне .com динамика оказалась заметнее: число регистраций снизилось на 14 п. п. год к году — до 24%.
Тенденция может быть связана как с успехами обнаружения и блокировок мошеннических сайтов, так и с их переездом в зоны бесплатных доменов, допускают эксперты компании: их количество возросло только за первый квартал 2023 года почти в 20 раз в зоне .tk и в 4 раза в остальных зонах.
Количество фишинговых ресурсов в российском сегменте сети исчисляется тысячами, в сегменте .com — десятками тысяч, напоминает технический руководитель направления анализа защищенности центра инноваций Future Crew МТС RED Алексей Кузнецов: «Фишинг продолжает набирать популярность, активно эксплуатируя актуальную повестку, а спрос на доменные имена в экзотических доменных зонах (.ml, .tk, .cf, .ga) растет». Независимый IT-эксперт Филипп Кулин считает, что рост регистрации на менее популярных доменах фишинговых сайтов сохранится в том числе потому, что так их регистрировать быстрее и дешевле.
Роскомнадзору же проще заблокировать мошеннические ресурсы на домене .ru, отмечает господин Кузнецов, что отчасти сдерживает рост объема фишинговых сайтов в рунете. «Есть домены верхнего уровня gTLD (generic Top-Level Domain), например .com, которые управляются централизованно, и домены, выделенные для конкретной страны — ccTLD (country code Top-Level Domain, в том числе .ru, а также других национальных зон), и в зонах ccTLD зачастую сложно добраться до регистратора и вынудить его забрать у владельца ресурса доменное имя»,— объясняет господин Кузнецов.
В целом количество ресурсов, зарегистрированных в зоне .ru, сокращается: за прошлый год оно снизилось на 88,2 тыс., до 4,93 млн, по данным «Технического центра Интернет». Падение темпов регистрации доменов .ru было связано с уходом зарубежных компаний с российского рынка, а также прекращением работы части регистраторов доменов (GoDaddy, Namecheap) в России (см. “Ъ” от 18 января).