Не все то фишинг, что завлекает громкими призывами и яркими страницами. Так, например, на днях эксперты по кибербезопасности обнаружили более сотни доменов с сочетаниями слов gas и еuropa, зарегистрированных в зонах .ru, .ch, .uk, .info, .org. Они появились на фоне новостей о запуске «Северного потока-2» и отказе «Газпрома» бронировать на 2022 год дополнительные мощности по транзиту газа.
Фото: Дмитрий Лебедев, Коммерсантъ
Было бы логично предположить, что эта россыпь сайтов — фишинговая, благо прецедентов достаточно. Однако выяснилось, что все доменные имена зарегистрированы не хакерами, а, наоборот, швейцарской компанией по борьбе с фишингом Global IP action AG. Вероятно, всплеск регистраций вызван защитой интересов швейцарской дочерней структуры «Газпрома» Nord Stream 2 AG, оператора проекта «Северный поток-2».
Тактика «не можешь победить — возглавь» не нова: ее использовала, например, российская служба курьерской доставки ПЭК. Как сообщал “Ъ” 10 июня 2020 года, перевозчик выкупил 48 доменов, чтобы мошенники не смогли создать на них фишинговые сайты. И это не единственный пример.
Так, на фоне всплеска фейковых сайтов с выплатами для жертв мошенничеств Альфа-банк проводил акцию «Миллион за одного мошенника». Красочный одностраничный лендинг содержал призыв поделиться данными и одну-единственную кнопку «Заработать на мошеннике». Простота сайта наводила на мысли, что за ним стоят сами мошенники, но это был официальный ресурс банка. Похожая история произошла и с доменом alfabank-sdelka.ru: Telegram-канал @In4security принял ресурс за фейковый, а в Альфа-банке объяснили, что создавали его для сервиса «Безопасная сделка» и, вероятно, не успели закрыть вместе с сервисом.
Когда речь идет о фишинговых сайтах, специалисты по кибербезопасности обычно отмечают, что мошенники с каждым годом становятся все более изобретательными.
Они делают страницы максимально правдоподобными: имитируют сертификаты безопасности сайтов, добавляют отзывы с фотографиями якобы реальных людей, как бывает в схемах с фейковыми лотереями, создают сети из связанных сайтов и рекламируют фейковые акции в фейковых федеральных СМИ, как это было с мошенничествами от лица «Газпрома» в мае.
На этом фоне у компаний наблюдается обратная тенденция: они упрощают лендинги, приуроченные к акциям, и пачками регистрируют домены, схожие с официальными. Но такая стратегия борьбы с фишингом, по мнению экспертов, вряд ли окажется эффективной, ведь комбинаций, обыгрывающих, например, транзит газа в Европу, тысячи, и зарегистрировать все возможные сочетания во всех доменных зонах вряд ли удастся.