В интернете резко выросло число фишинговых страниц, маскирующихся под сайты российских страховых компаний. С октября было зарегистрировано по крайней мере 80 таких доменов, с помощью которых мошенники могут получать персональные данные пользователей, номера их банковских карт и даже продавать им фальшивые полисы ОСАГО. Эксперты связывают рост активности мошенников с появившейся возможностью покупать полисы в маркетплейсах. В Российском союзе автостраховщиков (РСА) говорят, что уже давно блокируют фишинговые сайты, но иногда это затрудняют зарубежные провайдеры.
Фото: Юрий Мартьянов, Коммерсантъ / купить фото
В сети выросло число фишинговых сайтов, маскирующихся под страницы страховых компаний, заметили авторы Telegram-канала In4security. Они обнаружили больше 80 доменов, в названиях которых к бренду страховой компании прибавляются приставки pay, payment, invoice. Такие примеры есть практически по всем основным страховым компаниям, в тройке лидеров — «Ренессанс Страхование», «Согаз» и «Согласие», на которых приходится примерно 30% выявленных ресурсов, сообщает канал.
Рост числа фишинговых доменов страховых компаний может быть связан с тем, что в октябре после принятия поправок к закону «Об обязательном страховании гражданской ответственности владельцев транспортных средств» автовладельцы получили возможность покупать полисы ОСАГО не только на страницах страховщиков, но и в маркетплейсах, предполагают авторы канала и подтверждают в компании «СёрчИнформ». По оценке компании, с 19 октября было зарегистрировано около 200 доменов, в назывании которых используется слово osago, в том числе в сочетании с брендами банков и страховых.
«Эти регистрации сделаны под влиянием инфоповода. Например, в середине ноября компания "Согласие" выпустила пресс-релиз о том, что теперь тоже продает полисы на платформе "Финуслуги", и в этот период было зарегистрировано 11 доменов со словом soglasie»,— говорит начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.
В страховых компаниях подтверждают тенденцию.
«Большая часть ссылок, перечисленных в Telegram-канале, уже заблокирована, ведутся работы по блокировке остальных»,— заверили в пресс-службе «Согласия». В «Ренессанс Страховании» подтвердили, что наблюдают возросшую активность мошенников, за последний месяц компании удалось закрыть два фишинговых сайта. Пандемия стала катализатором для более активного использования населением онлайн-сервисов и активизации злоумышленников, констатируют в «АльфаСтраховании», добавляя, что за год было заблокировано 64 сайта, маскировавшихся под их ресурсы. В «Согазе» не ответили на запрос.
118 процентов
составил рост числа фишинговых ресурсов в мире в 2020 году (данные Group-IB на ноябрь)
В последние полгода действительно наблюдается существенный рост активности мошенников, занимающихся фишингом. Например, 27 ноября “Ъ” сообщал, что злоумышленники создали десятки фейковых страниц, похожих на базу недвижимости ЦИАН, а 19 августа — о том, что только за месяц появилось 312 доменных имен, мимикрирующих под страницы банков. Фишинговые клоны появлялись и у сервисов доставки еды: Delivery Club, «Сбермаркета» и «Яндекс.Еды».
Ситуация отчасти схожа с той, которая наблюдалась в начале 2017 года, когда появилась возможность оформлять электронные полисы ОСАГО, что также быстро вызвало волну регистрации мошеннических сайтов, указывает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. С ним соглашается операционный директор центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома» Антон Юдаков. По его словам, в преддверии распродаж, праздников, а также на фоне громких новостей и событий фишинг в целом традиционно растет на 10–30%, что «неудивительно, так как социальная инженерия и фишинг — основные векторы атак на рядовых пользователей».
В случае со страховыми компаниями цель мошенников чаще всего — кража персональных данных пользователей и информации об их банковских картах, но возможны и более сложные схемы, например, продажа поддельных полисов, говорят эксперты.
«При создании фишинговых ресурсов злоумышленники не ограничиваются доменами, схожими с названиями реальных страховых. Они выстраивают полный цикл взаимодействия с жертвой, начиная атаку с рассылки фишинговых писем, которые приводят пользователя на их сайт»,— добавляет господин Юдаков.
В РСА при этом признают, что в блокировании фишинговых сайтов есть трудности, связанные с зарубежными провайдерами. «Если с российскими провайдерами естественно работать значительно легче и быстрее, то с иностранными сроки доказывания противозаконности сайта значительно возрастают»,— поясняет исполнительный директор РСА Сергей Ефремов. Иногда, по его словам, они отказывают в ограничениях, мотивируя это недостаточностью представленных доказательств.