2023 год можно смело назвать «годом фишинга»: число фишинговых сайтов в Рунете за год выросло более чем в три раза. Об этом свидетельствует как кратно увеличившееся число обращений пользователей к регистраторам доменных имен, провайдерам и в правоохранительные органы, так и статистические данные ресурсов Координационного центра доменов .RU/.РФ, посвященных вопросам кибербезопасности – Доменный патруль и Нетоскоп.
По данным проекта «Доменный патруль» (доменныйпатруль.рф), в 2023 году компетентные организации направили 54 977 обращений к регистраторам, что в 3 раза больше, чем в 2022 году (16 324 обращения), и почти 90% из них касались фишинга. По итогам рассмотрения этих обращений было заблокировано 54 135 вредоносных доменов, при этом скорость реагирования в России остается самой высокой в мире – в мае-декабре 2023 года она в среднем составляла 21,5 часа от момента подачи жалобы до блокировки вредоносного домена.
Интересно, что рекорд по количеству обращений, поступивших в Координационный центр от компетентных организаций («Лаборатория Касперского», «Ростелеком Солар», F.A.C.C.T. и других), был поставлен в октябре 2023 года. Тогда поступило 8219 заявок на блокировку потенциально опасных доменов – рекордное число обращений за месяц за всю историю центра: в 3,6 раза больше, чем в октябре 2022 года (2240 обращений), а также больше числа обращений за весь 2019 год (7456 обращений). По результатам проверки в октябре 2023 года в зонах .ru и .рф было разделегировано (заблокировано) более 8 тыс. вредоносных доменов.
Как отмечал руководитель проектов Координационного центра Евгений Панков, резкий рост фишинга, в первую очередь, был связан с приближением ноябрьских распродаж и новогодних праздников. Схемы, использованные в тот момент мошенниками, были достаточно стандартны – поддельные страницы популярных магазинов и маркетплейсов, рассылки о супер-акциях и распродажах. Однако масштаб фишинговых атак в октябре был огромен, и это, во многом, связано с ростом российского рынка электронной коммерции.
Аналогичные данные представлены и другим ресурсом Координационного центра – исследовательской платформой для агрегации информации о вредоносных ресурсах в национальных доменах верхнего уровня «Нетоскоп». Как рассказали на встрече участников проекта 17 января, за 2023 год в проект было добавлено около 63 тысяч доменных имен, что почти в 3 раза больше, чем в 2022 году. Большая часть (51 293) доменных имен среди доменов, появившихся в базе в 2023 году, пришлась на фишинг, при этом их количество за год увеличилось более чем в 2 раза. Всего же в базе проекта, существующего более 12 лет, находится более 5,1 миллиона доменных имен (второго, третьего и ниже уровней), которые хотя бы раз за период с ноября 2012 года по декабрь 2023 года были замечены или заподозрены в нежелательной активности.
Одним из возможных решений проблемы фишинга является проактивный подход к его выявлению – об этом на встрече рассказала руководитель проектов Координационного центра доменов .RU/.РФ Ольга Баскакова. В 2023 году в «Нетоскопе» была запущена пилотная версия разметки доменов, когда анализ доменных имен начинается на этапе регистрации или сразу после нее. При таком подходе в категорию «подозрительных» попадает до 30-35% регистрируемых доменных имен, но в базу «Нетоскопа» в итоге попадает менее 2% из этих доменов. Такой подход позволяет снижать время реакции на инциденты, а в будущем даже предотвращать их.
Еще одна мера, которая может в корне переломить ситуацию с фишингом – готовящееся введение обязательной проверки паспортных данных администратора домена через ЕСИА (портал «Госуслуги»). Сейчас при регистрации доменов паспортные данные вводятся вручную, но поскольку система регистрации использует автоматизированные средства обработки заявок, регистратор технически не может проводить сплошную проверку указанной информации. Это позволяет злоумышленникам регистрировать домены на поддельные или вымышленные данные. Так, собственно, и появляется большинство фишинговых доменов.
«Внесение соответствующего законопроекта в весеннюю сессию Госдумы РФ взял на депутатский контроль председатель правления РОЦИТ, зампред комитета Госдумы по информполитике, информтехнологиям и связи Антон Горелкин. Сейчас мы ожидаем скорейшего рассмотрения и принятия законопроекта», – рассказал на встрече директор Координационного центра Андрей Воробьев.
В целом достичь значительных успехов в борьбе с фишингом сегодня удается благодаря совмещению автоматизированных методов поиска вредоносных доменов и работы экспертного сообщества. В частности, еще в 2012 году Координационным центром был создан институт компетентных организаций, в который вошли компании с экспертизой в ИБ и определении нарушений в Рунете. Сегодня 12 таких организаций собирают и анализируют информацию об интернет-ресурсах, которые используются для распространения вредоносного ПО, фишинга, управления бот-сетями и прочих нарушений. При обнаружении таких ресурсов они направляют запрос аккредитованным регистраторам доменных имен в доменах .RU и .РФ и Координационному центру. Такой подход приводит к быстрому разделегированию вредоносного домена.
Взаимодействуют компетентные организации и регистраторы в рамках проекта «Доменный патруль», который на сегодняшний день является одним из самых эффективных инструментов саморегулирования в борьбе с противоправными ресурсами.
Наиболее популярным у российский фишинговый мошенников является традиционный email-фишинг, когда рассылаются поддельные письма от лица популярных компаний и брендов. По данным компании BI.ZONE, участника проекта Доменный патруль, доля фишинговых писем в 2023 году выросла на 70% по сравнению с 2022 годом. Также активны телефонный фишинг (voice phishing) с применением социальной инженерии и фишинг в мессенджерах. В переписках мошенники представляются сотрудниками банков или госорганов, чтобы стимулировать пользователя к переходу по ссылке из письма. Недавно также появилась схема, когда для повышения доверия мошенники предварительно звонят или отправляют сообщение от имени родственника или коллеги. Якобы знакомые люди сообщают, что жертве скоро поступит звонок и его нельзя игнорировать.
В «Авито», «Юла», Ozon и других маркетплейсах поддельные «продавцы» или «покупатели» уговаривают пользователей перейти в сторонние мессенджеры. Злоумышленники отправляют сгенерированную фишинговую ссылку – якобы для оплаты товара и доставки. Чтобы снизить бдительность пользователя к цифровой части домена, мошенники часто добавляют домен третьего уровня, который содержит название имитируемого сайта или сервиса. Например, youla.id-4007.ru или avito.id6990.ru. Как только пользователь переходит по фишинговой ссылке, он теряет деньги. Этот вид мошенничества относится к так называемому «сложному фишингу». В таких случаях используют доменное имя и поддельный контент, который генерируется по уникальной ссылке для конкретного пользователя в определенный промежуток времени.
Также активно эксплуатируются схемы, при которых мошенники убеждают пользователя установить мобильные приложения – от поддельных и зараженных троянами до легальных средств удаленного доступа на устройство.
Еще одна проблема, которая может стать крайне актуальной в ближайшем будущем – это персональный фишинг. Уже сейчас разработаны технологии, позволяющие генерировать аудио- и видеодипфейки (deep fake). Однако пока они выдают результат не слишком высокого качества, чувствительны к объему ресурсов и, что главное, не продаются на черном рынке в форме готовых инструментов. Но через год-полтора ситуация может в корне измениться – мошенники будут использовать для подтверждения фишинговых ссылок полноценные голосовые и видеозвонки от якобы знакомых и родственников жертвы. И единственным выходом будет еще более быстрая блокировка доменных имен по жалобам жертв.
В целом же и регистраторам доменов, и их администраторам, и Координационному центру как национальной регистратуре доменов .RU и .РФ необходимо постоянно быть начеку и быстро адаптироваться к меняющемуся ландшафту угроз. Поэтому сейчас особенно важны проактивный подход, оперативное реагирование и обучение пользователей основам информационной безопасности и цифровой гигиены, а также сотрудничество и обмен знаниями между администраторами доменов, специалистами по кибербезопасности и разработчиками ПО. Только объединив усилия, мы сможем противостоять угрозам и сделать Рунет безопаснее для всех.
erid: 2VtzqxZc2MV. Реклама. АНО Координационный центр национального домена сети Интернет