Администраторы фейковых сайтов начали повышать эффективность мошенничества, отбирая жертв по критериям, выяснили в Infosecurity a Softline Company. Злоумышленники следят за тем, чтобы переход на сайт осуществлялся с менее безопасного, чем компьютер, смартфона или из определенного браузера. Такой подход снижает стоимость атаки, повышает шансы на успех и защищает от систем информбезопасности, объясняют эксперты.
Фото: Игорь Иванко, Коммерсантъ / купить фото
Мошенники создали новый метод маскировки. Они настраивают переадресацию на фейковые сайты, исходя из соответствия пользователя заданным критериям, рассказали “Ъ” в Infosecurity a Softline Company. С начала ноября 2020 года компания обнаружила более 20 сайтов, созданных по этой схеме. Они ориентированы на индивидуальных предпринимателей—клиентов крупных российских банков.
Основные критерии отбора жертв — геолокация, тип браузера и устройства, с которого они заходят на мошеннический ресурс, пояснил руководитель блока специальных сервисов Infosecurity a Softline Company Сергей Трухачев. В некоторых случаях, по его словам, фишинговые сайты открываются только с мобильных телефонов.
Сама суть атак не изменилась: злоумышленники создают фейковые страницы входа в личный кабинет банков, вынуждая жертву прислать логин, пароль и код из СМС-сообщения.
Но если же пользователь не подходит под требования злоумышленников, он увидит сайт-заглушку, не имеющий никакого отношения к банку.
В качестве прикрытия, например, часто использовался сайт компании «Дельта Финанс», оказывающей бухгалтерские услуги, уточняют в Infosecurity. «В этой схеме фишинговый сайт, словно хамелеон, притворяется невинным ресурсом, открываясь лишь для потенциальных жертв»,— рассуждает господин Трухачев.
Все описанные критерии технически реализуемы и на одном сайте, создавать дополнительный необязательно, уточняет руководитель центра реагирования на инциденты информационной безопасности компании Group-IB Александр Калинин. Некоторые атаки, по его мнению, могут быть направлены не на привлечение пользователей на фишинговый сайт, а на отправку вредоносного ПО, что особенно актуально для устройств на операционной системе Android.
По его словам, среди критериев злоумышленников также может быть язык устройства и сайт, с которого перешел пользователь. Киберпреступники начали использовать персонализированный подход с 2019 года, количество подобных случаев неуклонно растет, отметили в Group-IB.
Если на сайт пытается зайти человек с мобильного устройства из определенного города в течение часа после начала показа контекстной рекламы, то механизм отбора, скорее всего, его направит на фишинговый сайт, потому что он похож на реального пользователя, поясняет ведущий эксперт «Лаборатории Касперского» Сергей Голованов.
Если же по мошеннической ссылке попытается перейти условный «безликий» компьютер, система может распознать его как робота, который ищет фейковые сайты, и показывает ему безопасную «заглушку», говорит эксперт.
Подобный таргетинг позволяет мошенникам не попасться на сканеры исследователей информационной безопасности и поисковиков, полагает начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. Кроме того, таргетинг, по его словам, удешевляет стоимость атаки, поскольку злоумышленнику не нужно, например, делать версии сайта под разные типы устройств.
Тип устройства важен для злоумышленников, поскольку на смартфонах, например, редко стоят какие-либо системы безопасности для блокировки фишинговых сайтов, отмечает руководитель направления «Информационная безопасность» IT-компании «Крок» Андрей Заикин. В таком случае, по его мнению, также меньше вероятность, что жертва заметит различия в доменах или дизайне сайта в силу размеров экрана.