Хакеры встроились в иерархию
Фишинговые страницы спрятались на доменах нижних уровней
Организаторы фишинговых кампаний стали чаще использовать домены третьего и четвертого уровней, что позволяет им уклоняться от систем автоматического мониторинга вредоносных ресурсов. К таким выводам пришли специалисты по кибербезопасности. При этом злоумышленники стали реже «вшивать» во вредоносные домены имена известных брендов, особенно маркетплейсов.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Количество фишинговых ресурсов, обнаруженных и заблокированных в интернете в первые девять месяцев 2024 года, увеличилось на 116% относительно аналогичного периода прошлого года, сообщили “Ъ” в группе компаний «Солар». Специалисты отметили, что в этом году хакеры начали массово использовать фишинговые домены третьего и более глубоких уровней. Это усложняет поиск вредоносных ресурсов, сказал заместитель центра Solar AURA Александр Вураско.
Иерархия доменных имен подразумевает, что администратор домена второго уровня (например, example.com) может самостоятельно создавать домены третьего уровня (например, blog.example.com) и распоряжаться ими, в том числе продавать. Аналогично можно создавать и домены четвертого, пятого и более глубоких уровней. В зонах, где разрешена непосредственная регистрация доменов второго уровня (.com, .ru и большинство других), такие поддомены часто используются для сайтов подразделений компании, подразделов сайта, а также для технических задач — в частности, для работы электронной почты и средств аналитики.
«Такой подход выгоден мошенникам — жертве сложно доказать компетентным органам, что фишинговая страница в принципе существовала»,— объясняет руководитель отдела доменов Ru-Center Георгий Казаров. Чтобы избежать автоматической проверки по адресам, злоумышленники также размещают фишинговые страницы на внутренних страницах сайта, добавили “Ъ” в «Яндексе».
Кроме того, отметили в «Соларе», администраторы фишинговых доменов стали реже использовать в них упоминания известных торговых марок: «В 2024 году до 40% фишинговых ресурсов не имеют связки с брендом, когда в 2023 году их доля составляла 16%».
Больше всего внебрендовых доменов (70%) относится к фишингу вокруг маркетплейсов.
Но полностью от использования известных наименований злоумышленники не отказались, уточнили “Ъ” в компании F.A.C.C.T.: «73% фишинговых доменов в зонах .ru и .рф, выявленных в первой половине 2024 года, были созвучны брендам банков и страховых компаний».
В Wildberries сказали “Ъ”, что в первом полугодии 2024 года число фишинговых сайтов выросло более чем в два раза относительно 2023 года, около 10% их них «нацелены на получение доступа в личные кабинеты продавцов». В «Яндексе» сказали, что их поисковик и браузер выявляют фишинговые сайты не только по домену, но и по дате их создания и содержимому. В Ozon не ответили “Ъ”.
Начальник отдела по ИБ-компании «Код безопасности» Алексей Коробченко отмечает, что за блокировкой одних схем работы хакеров всегда следует разработка других, более продвинутых: «Нужно некоторое время, чтобы научиться в автоматическом режиме обнаруживать подобные ресурсы».