Фишь да гладь
Рост жалоб на мошеннические домены замедлился
Число запросов на отключение доменов мошеннических (фишинговых) сайтов, имитирующих подлинные сервисы в зонах .ru и .рф, которое в прошлом году росло многократно, по итогам первого полугодия увеличилось лишь на 16%. Администратор.ru и .рф связывает это с улучшением автоматической системы отключения и переходом злоумышленников в иностранные зоны. Но эксперты в области кибербезопасности видят здесь и влияние нейросетей: вследствие их развития другие каналы фишинга, например голосовой, становятся более эффективными.
Фото: Антон Новодерёжкин, Коммерсантъ
Российские регистраторы доменов в первом полугодии обработали 23,2 тыс. обращений, связанных с обнаруженными доменами фишинговых сайтов (имитируют подлинные сервисы с целью мошенничества), что на 16% больше, чем в первом полугодии 2023 года, сообщили “Ъ” в Координационном центре (КЦ) .RU/.РФ. Рост обращений существенно замедлился: в первой половине 2023 года количество таких обращений выросло к аналогичному периоду 2022 года в четыре раза, с 4,9 тыс. до 19,9 тыс. Директор КЦ .RU/.РФ Андрей Воробьев связал это, с одной стороны, с улучшением автоматизированной системы разделегирования вредоносных доменов, с другой — с переносом части разделегированных доменов в стоп-лист. «В результате мошенники вынуждены переходить в зарубежные доменные зоны»,— отметил он.
Статистика КЦ .RU/.РФ относится к его проекту «Доменный патруль». Уполномоченные в его рамках организации (Роскомнадзор, ЦБ, РОЦИТ, F.A.C.C.T, Dr.Web и др.) отправляют сообщения о вредоносных операциях, а интернет-регистраторы закрывают администраторам доменов, используемых в таких операциях, доступ к управлению. На сообщения о фишинге приходится большинство обращений, при этом он также обрабатывает сообщения о сайтах—контролерах вредоносного ПО, ресурсах для взлома и т. д.
С начала 2024 года, как и по итогам 2023 года, злоумышленники чаще всего имитировали бренды «Сбера» (4,2 тыс. выявленных доменов за полгода), Avito (4,1 тыс.) и «Юлы» (4 тыс.).
В «Сбере» сказали “Ъ”, что с начала года обнаружили 4,5 тыс. фишинговых сайтов, использующих бренд банка, и 17 поддельных мобильных приложений. В Avito сообщили “Ъ”, что «фишинговая активность снижается». Владелец «Юлы» холдинг VK отказался от комментариев.
Снижение активности организаций совпало с уменьшением количества фишинговых ресурсов, блокируемых Роскомнадзором. В июле служба сообщила «Ведомостям», что за первое полугодие 2024 года заблокировала 33,8 тыс. фишинговых сайтов против 43,1 тыс. в первой половине 2023 года. В прошлом году, по данным организаций по кибербезопасности, количество фишинговых сайтов росло из-за удешевления процесса их создания (см. “Ъ” от 14 марта).
Ссылки на фишинговые ресурсы в электронных письмах все еще остаются главным инструментом обмана пользователей, «более 71% атак на организации начинались именно так», говорит руководитель группы защиты инфраструктурных IT-решений «Газинформсервиса» Сергей Полунин. Но он отметил, что развитие нейросетевых сервисов позволило злоумышленникам активнее пользоваться другими каналами: «За год голосовой и текстовый фишинги вышли на новый уровень, количество подобных атак выросло на порядки». В 13% случаев успешных атак злоумышленникам удавалось выдать себя за кого-то, кого жертва знает лично, добавил господин Полунин.
Общая фишинговая активность растет, о чем можно судить по статистике «Доменного патруля» — на 23–25% год к году, оценил директор центра противодействия мошенничеству «Информзащиты» Павел Коваленко.
Он отметил, что в подобных операциях злоумышленники активнее прибегают к многоканальности, чтобы завлечь на свои сайты: «Все идет в ход — и почта, и СМС, и мессенджеры». При этом он отметил, что рост активности корректнее оценивать ближе к концу года: «Для фишинга характерна сезонность, и активный рост происходит в третьем-четвертом кварталах».