Фишинговые сайты в России

Основная статья: Фишинг в России

2024: Минцифры РФ: С начала года заблокировано 60 тыс. фишинговых сайтов

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации 20 июня 2024 года сообщило в своем Telegram-канале о блокировке более 60 тыс. фишинговых сайтов с начала 2024 года. Эти меры направлены на борьбу с интернет-мошенничеством, целью которого является получение личных данных пользователей, таких как банковские реквизиты и пароли, через поддельные сайты и письма.

По данным ведомства, с 2022 года, когда была запущена программа «Антифишинг», удалось заблокировать около 215 тыс. фишинговых ресурсов. Программа демонстрирует высокую эффективность в предотвращении киберпреступлений, защищая миллионы граждан от возможных финансовых потерь и утечки персональных данных. Эти меры включают не только технические решения, но и активное информирование населения о способах распознавания фишинговых атак и повышении цифровой грамотности пользователей.

Минцифры сообщило о блокировке более 60 тыс. фишинговых сайтов с начала 2024 года

Наибольшую угрозу представляют поддельные сайты инвестиционных площадок, маркетплейсов, банков, социальных сетей, мессенджеров и органов государственной власти. Эти категории наиболее часто выбираются мошенниками для создания фишинговых ресурсов, так как пользователи нередко вводят на таких сайтах конфиденциальную информацию.Цифровизация в условиях Крайнего Севера. Интервью TAdviser с замгубернатора ЯНАО Константином Оболтиным 3.2 т

Как сообщили в Минцифры, для борьбы с фишингом граждане могут подать жалобу через портал Госуслуг. Пользователям необходимо указать адрес подозрительного сайта, язык, дату обнаружения и свою электронную почту для обратной связи. Заявка будет обработана в течение суток, и при подтверждении мошенничества сайт будет заблокирован. Своевременное блокирование таких ресурсов помогает предотвратить множество случаев мошенничества и сохранить доверие граждан к интернет-услугам.^[1]

2023

Рост доли фишинговых сайтов в зоне .ru в 3,6 раза

По итогам 2023 года доля фишинговых ресурсов, расположенных в доменной зоне .ru, достигла 46,5%. Для сравнения, годом ранее показатель равнялся 12,9%. Таким образом, зафиксирован 3,6-кратный рост. Такие данные в конце февраля 2024 года приводятся в исследовании группы по защите от фишинга CERT-F.A.C.C.T. (бывшая Group-IB).

Речь идет о сайтах, нацеленных на русскоязычных пользователей и/или использующих российские бренды. Негативную тенденцию подтверждает группа компаний «Солар»: по данным мониторинга внешних цифровых угроз Solar Aura, примерно 50% заблокированных ресурсов в 2023-м было зарегистрировано в зоне .ru.

Доля фишинговых ресурсов, расположенных в доменной зоне .ru, достигла 46,5%

Как отмечает газета «Ведомости», рост количества вредоносных ресурсов в доменной зоне .ru отчасти связан с тем, что россияне стали более бдительными по отношению к зарубежным доменам. Кроме того, популярность зоны .ru среди мошенников объясняется возможностью покупки домена на территории страны без необходимости оформления карты иностранного банка. Это снижает финансовые затраты на организацию вредоносных кампаний.

Эксперты F.A.С.С.T. также определили основные тренды вредоносных почтовых рассылок в 2023 году. Оказалось, что больше всего фишинговых писем злоумышленники отправляют в начале недели: пик рассылок приходится на вторник — 19,7% от всех таких писем за неделю. После среды происходит спад, а меньше всего вредоносных сообщений отправляется в воскресенье — 7,1%. В 2023-м киберпреступники в массовых фишинговых рассылках использовали вложения как основной способ доставки вредоносного ПО: доля таких посланий в общем объеме фишинговых писем достигла 98%. Количество писем с вредоносными ссылками при этом сокращается: результат по итогам года — немногим более 1,5%. Злоумышленники в основном упаковывают вирусы в архивы форматов .rar (23,3%), .zip (21,1%) и .z (7,7%).^[2]

Число мошеннических сайтов в России за год выросло на 86% до 207,1 тыс. штук

Число мошеннических сайтов в России за 2023 год выросло на 86% в сравнении с аналогичным периодом 2022-го и достигло 207,1 тыс. штук. Об этом в компании Bi.Zone сообщили в конце декабря 2023 года.

По словам директора департамента анализа защищенности и борьбы с мошенничеством Bi.Zone Евгения Волошина, основные скачки регистраций мошеннических ресурсов пришлись на март, сентябрь и октябрь, когда было замечено значительное увеличение числа доменов, имитирующих площадки для розыгрыша призов.

Одной из самых популярных схем стал фишинг. По данным Координационного центра доменов .RU/.РФ, 89% обращений от организаций были связаны именно с ним. Это в том числе вызвано переводом финансовых услуг в цифровой формат и увеличением популярности онлайн-сервисов, подчеркнул Волошин.

Еще одна популярная афера в интернете — «быстрый заработок». Под предлогом выгодных вложений они привлекали жертв на сайт, имитирующий страницу крупной российской или мировой компаний. Такие поддельные ресурсы исчислялись тысячами. Чтобы там зарегистрироваться, пользователь отвечал на вопросы конфиденциального и финансового характера, а также оставлял личные данные. Все эти сведения попадали в руки к мошенникам, говорится в исследовании Bi.Zone.

Как отметил «Известиям» руководитель группы по защите от фишинга компании F.A.C.C.T. Иван Лебедев, злоумышленники автоматизируют и ускоряют процессы в своих схемах — в этом заключается одна из причин появления большого числа фишинговых и мошеннических страниц.

Сегодня за несколько кликов преступники могут создать фишинговую страницу и массово распространять ссылку на нее через социальные сети или мессенджеры. Это не требует глубоких технических знаний, в результате снижается порог входа, поддерживается приток новых участников группировок, - добавил он.[3]

Злоумышленники стали лучше скрывать фишинговые ресурсы

Злоумышленники в 2023 году стали лучше скрывать фишинговые ресурсы. Об этом 28 сентября 2023 года сообщила компания Солар (ранее Ростелеком-Солар).

За прошедшие полгода заметно усложнились неперсонифицированные фишинговые атаки, составляющие более 98% всего фишинга. Злоумышленники стали чаще использовать и совершенствовать методы сокрытия вредоносного контента от инструментов для его поиска.

Такие выводы сделали эксперты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар» на основе анализа сотен тысяч вредоносных ресурсов.

На сентябрь 2023 года свыше 53% детектируемых специалистами Solar AURA фишинговых ресурсов используют те или иные средства защиты от их обнаружения. Для сравнения, в 2022 году этот показатель составлял 27%,а в 2021 году — 11%.

Одним из наиболее сложных способов по сокрытию фишинга стала схема «Хамелеон». Суть ее в том, что вредоносный сайт мог динамически изменять контент, а свое истинное «лицо» показывал лишь тем пользователям, которые соответствовали заданным злоумышленниками параметрам — например, территориальной принадлежности IP-адреса, разрешению экрана, версии операционной системы и браузера и т.д.

По мнению злоумышленников, этот подход должен был помешать антифишинговым сервисам распознавать вредоносный контент.

Также примечательна схема, которую эксперты назвали «Хамелеон 2.0». В ней злоумышленники использовали цепочки из десятков произвольно сгенерированных доменов, каждый из которых служил для перенаправления пользователя на вредоносный ресурс. Схема активно использовалась на рубеже 2022-2023 годов в масштабной фишинговой кампании, которая затронула более 300 крупных брендов.

Помимо таких технически сложных вариаций, как "Хамелеон" или "Хамелеон 2.0", активно применяются и другие приемы — например, использование доменов, не имеющих отношения к бренду, от имени которого совершается атака. Также применяются "сайты-прокладки", которые переадресуют пользователя на нужный URL и одновременно уведомляют его о том, что портал якобы проверен антивирусом и не представляет опасности, — пояснила эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Диана Селехина.

Победа РКН: Фишинговые ресурсы почти ушли из домена .ru

По итогам первого квартала 2023 года в России было удалено и заблокировано более 7,2 тыс. фишинговых ресурсов против около 2 тыс. за аналогичный период 2022-го. Такие данные в Роскомнадзоре привели 10 мая 2023 года. Согласно статистике ведомства, наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменную зону .com (52%), на втором месте — .ru (13%), на третьем месте — .xyz и .site (8%). Оставшаяся доля распределялась между доменами .top, .io, .net, .pro, .ws. Блокировкой фишинговых сайтов занимается и Минцифры через систему «Антифишинг», которая работает с июня 2022 года.

Работающие в сфере информационной безопасности компании подтверждают эту тенденцию. По данным «Лаборатории Касперского», в январе-мае 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось на доменные зоны .com (48%), .ru (12%) и .ws (6%).

Уход мошенников в новые домены может быть связан с тем, что регистрация там дешевле или вообще бесплатна. Кроме того, как отметил руководитель направления анализа защищенности центра инноваций Future Crew МТС RED Алексей Кузнецов в разговоре с «Коммерсантом», Роскомнадзору проще заблокировать мошеннические ресурсы на домене .ru, что отчасти сдерживает рост объема фишинговых сайтов в рунете.

Есть домены верхнего уровня gTLD (generic Top-Level Domain), например .com, которые управляются централизованно, и домены, выделенные для конкретной страны — ccTLD (country code Top-Level Domain, в том числе .ru, а также других национальных зон), и в зонах ccTLD зачастую сложно добраться до регистратора и вынудить его забрать у владельца ресурса доменное имя, - объяснил эксперт.[4]

Рост числа новых фишинговых сайтов в 3 раза до 5,2 тыс.

В январе-марте 2023 года в России выявлено 5,2 тыс. фишинговых сайтов, что почти втрое больше, чем годом ранее. Об этом в середине марта 2023-го сообщили в АНО «Координационный центр доменов».

Директор АНО Андрей Воробьев заявил, что одной из причин этого стала неразбериха с SSL-сертификатами, возникшая после отказа западных удостоверяющих центров от работы в РФ.

До февраля 2022 года SSL-сертификаты выдавали зарубежные удостоверяющие центры, однако после 24 февраля того же года многие из них отказались работать с РФ. За последний год в России начали работать несколько местных удостоверяющих центров и проблема постепенно теряет остроту, сказал Воробьев в середине марта 2023-го.

Рост количества фишинговых сайтов отметили и в Роскомнадзоре (РКН). В пресс-службе ведомства рассказали изданию, что с января по февраль 2023 года РКН удалил и заблокировал 523 мошеннических ресурса. В их числе оказались сайты, касающиеся кредитно-финансовой сферы. За аналогичный период 2022 года было удалено 313 ресурса.

Специалисты Координационного центра доменов сообщили «Известиям», что чаще всего мошенники имитируют сайты крупнейших российских банков, подпавших под санкции, а также маркетплейсов и сервисов объявлений.

По мнению экспертов Координационного центра доменов, эффективной мерой противодействия мошенникам могло бы стать подтверждение паспортных данных физлица, регистрирующего доменное имя, через ЕСИА, пишет газета.

Одной из причин роста числа фишинговых сайтов является и развитие технологий. Например, всё более широкое распространение получают конструкторы сайтов, использовать которые может любой знакомый с компьютером человек, даже не обладающий навыками программирования, объяснил руководитель направления аналитики интернет-угроз компании «РТК-Солар» Сергей Трухачев.^[5]

2022

Число заблокированных в России фишинговых сайтов выросло более чем в два раза

3 марта 2023 года компания Group-IB сообщила, что заблокировала в 2022 году более 59 000 фишинговых сайтов, из них более 7 000 — в российском сегменте интернета, что в два раза больше, чем годом ранее. Мошеннические ресурсы похищали у пользователей из России логины и пароли, данные банковских карт, аккаунты в мессенджерах. Так, в 2022 году прошла волна атак с помощью фишинговых ресурсов на пользователей Telegram.

По информации компании, если в 2021 году количество заблокированных ресурсов Центром реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) в сети Интернет составило 31 455, то в 2022 году их число увеличилось до 59 282. Страницы киберпреступников в том числе копировали ресурсы популярных у российских пользователей брендов, сервисов, игр. В зонах .ru и .рф. количество заблокированных сайтов выросло более чем вдвое с 3 210 до 7 121.

В целом специалисты круглосуточного СERT-GIB выявили за 2022 год только в зонах .ru и .рф. 20 170 фишинговых доменов, а в 2021 году их число составляло 15 363 домена.

Чаще всего мошенники маскировали фишинговые ресурсы под социальные сети, банки, почтовые сервисы. Злоумышленники пользовались услугами хостинг-провайдеров, расположенных в основном в США, России и Германии. Каждый третий сайт мошенников был размещен в доменной зоне .com — 33,8% от общего числа ресурсов.

Фишинговые страницы применялись в схеме по краже учетных записей пользователей в Telegram в декабре 2022 года. Жертвы получали сообщение с просьбой поддержать крестницу или племянницу отправителя в детском конкурсе рисунков, проголосовать за «автора» сообщения в какой-либо онлайн-викторине, получить подарок в виде премиум-подписки в мессенджере. Ссылка в сообщении вела на фишинговый ресурс. Послания рассылались по адресным книгам взломанных аккаунтов в мессенджере и чатам, где состояли их владельцы. С украденными аккаунтами схема повторялась: по их спискам контактов злоумышленники рассылали сообщения со ссылками на фишинговые ресурсы. В 2023 году злоумышленники для кражи аккаунтов в Telegram также используют сценарий с сообщением от службы поддержки мессенджера об ограничении учетной записи пользователя.

Фишинг остается наиболее распространенной угрозой в интернете, ее масштабы продолжают расти. Подобные сайты составляют 98-99% заблокированных ресурсов киберпреступников. В первую очередь это ресурсы, которые играют роль одного их основных элементов популярной схемы «Мамонт» (FakeCourier) и её версий, где у жертвы под предлогом фейковой покупки, доставки, аренды или свидания похищают деньги и данные банковских карт. отметил Иван Лебедев, руководитель группы по защите от фишинга СERT-GIB

Специалисты Group-IB напоминают основные правила, которые важно соблюдать, чтобы не стать жертвой фишинга:

• В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая приложения из официальных магазинов.
• Следует проверять доменные имена подозрительных сайтов. Чаще всего злоумышленники используют созвучные популярным брендам домены. Нужно использовать официальные приложения.
• При онлайн-покупках необходимо всегда проверять все реквизиты переводов и платежей. Никому не сообщать коды из СМС и пуш-уведомлений, данные карты (ПИН и CVV-коды), персональные данные.
• Никогда не переходить по подозрительным ссылкам от неизвестных отправителей, мошенники могут заразить компьютер или телефон и украсть данные.
• Можно доверять ссылкам, которые указаны в верифицированных аккаунтах компаний в социальных сетях и мессенджерах.

Мошенники в России начали создавать фейковые сайты каршерингов для кражи данных

В конце 2022 года стало известно о том, что мошенники в России начали активно создавать фейковые сайты каршеринговых компаний для кражи данных, а также для угона автомобилей и снятия с них запчастей.

Как рассказали «РИА Новости» в НТИ «Автонет», мошенники создают поддельные сайты и завлекают на них жертв с помощью несуществующих акций. После того как пользователь вводит данные автомобиля, логин, пароль и данные водительского удостоверения, злоумышленники завладевают ими.

При регистрации на таких сайтах пользователь раскрывает свои персональные данные и дает мошенниками возможность воровать каршеринговые автомобили от своего имени. Триггером для регистрации служит низкая стоимость аренды авто. Отмечается, что многие из сайтов уже начали блокироваться.

По словам аналитиков, в 2022 году резко увеличилось количество схем, связанных с воровством автомобильных данных. Это может быть связано с недостатком автозапчастей и дефицитом машин, а также с уходом из РФ ряда популярных мошеннических схем, связанных с банковским сегментом, из-за блокировки системы SWIFT.

По данным НТИ «Автонет», к концу 2022 года в Рунете насчитывается не менее 130 поддельных сайтов каршеринговых компаний.

В сентябре 2022 года в «Лаборатории Касперского» рассказали, что хакеры стали предлагать купить доступ к аккаунту администратора одной из каршеринговых компаний в одном из объявлений в даркнете. В предложении сказано, что покупатель сможет удаленно управлять сразу несколькими машинами сервиса. Например, отслеживать местоположение автомобиля, открывать и закрывать его, включать и выключать двигатель. Мошенники могут использовать доступ к панели управления каршеринга, например, для вымогательства денег.^[6]

Число мошеннических сайтов в Рунете выросло на 15%

Компания Group-IB, один из мировых экспертов в сфере кибербезопасности, сообщила 11 ноября 2022 года об обнаружении в 2022 году в российском сегменте интернета около 18 000 фишинговых сайтов, что на 15% больше, чем в 2021 году. Такой рост эксперты связывают с масштабированием мошеннической схемы «Мамонт». Чаще всего в качестве приманки мошенники используют фишинговые ресурсы под видом банков, онлайн-сервисов и платежных систем.

За 9 месяцев 2022 года CERT-GIB выявил 17 742 фишинговых сайтов в доменных зонах .ru и .рф. Для сравнения за аналогичный период 2021 года было зафиксировано 15 363 домена. Стабильно рост числа мошеннических ресурсов наблюдался на протяжении всего года: если в январе было обнаружено 1295 доменов, в мае уже 1936, а в октябре — 2402.

По мнению аналитиков, рост числа фишинговых сайтов связан с растущим распространением схемы «Мамонт» (FakeCourier), где у жертвы под предлогом фейковой покупки, доставки или аренды похищают деньги и данные банковских карт. Основные всплески появления страниц мошенников наблюдались в мае, августе и октябре 2022 г., что в том числе связано с «сезонными» сценариями схем киберпреступников.

Ранее Group-IB выявила не менее 300 скам-групп, работающих по схеме «Мамонт». Мошенники зарабатывали на темах курьерской доставки, аренды недвижимости, продажи автомашин, совместных поездок и даже походов на свидания. После выхода схемы в Европу, суммарный ежегодный заработок всех преступных групп, использующих данную схему мошенничества, по самым скромным подсчетам, оценивался более чем $6,2 млн.

В целом, по данным Координационного центра доменов.RU/.РФ (КЦ), число запросов на блокировку вредоносных сайтов в 2022 году выросло на 25%. Наибольшее количество направил СERT-GIB — 5 343 запроса. В первую очередь, блокировке подлежали ресурсы, на которые пожаловались пострадавшие пользователи и компании. Всего за 10 месяцев компетентные организации — партнеры КЦ — направили 11 936 обращений, в то время как в 2021 году за аналогичный период было отправлено 9556 обращений. В итоге хостинг-провайдерами и регистраторами было заблокировано 11 514 вредоносных ресурсов. Среднее время реагирования составило 23,2 часа.

Фишинг остаётся наиболее массовой угрозой для пользователей в Интернете, и его масштабы неуклонно растут. Именно фишинговые сайты составляют 98—99% заблокированных ресурсов киберпреступников. Оставшаяся доля от общего числа заблокированных страниц приходится на сайты с вредоносным ПО, подчеркнул Иван Лебедев, руководитель группы по защите от фишинга СERT-GIB.

Центр реагирования на инциденты информационной безопасности СERT-GIB является одной из 12 компетентных организаций, которые предоставляют Координационному центру и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .ru и .рф. Регистраторы вправе прекратить делегирование доменных имен для подобных ресурсов.

Минцифры создает систему досудебной блокировки мошеннических сайтов

11 августа 2022 года стало известно о решении Министерство цифрового развития, связи и массовых коммуникаций РФ блокировать мошеннические ресурсы, замаскированные под официальные сайты, без вынесения соответствующего решения судом. Для этого ведомство расширит взаимодействие с Генпрокуратурой в рамках информационной системы «Антифишинг». Подробнее здесь

За год количество фишинговых атак в России удвоилось

За год количество фишинговых атак в России удвоилось. Об этом 22 июня 2022 года сообщила компания Trust Technologies (Траст Технолоджиз).

Ежегодно компании на 15% увеличивают инвестиции в информационную безопасность. Количество киберпреступлений растет в геометрической прогрессии, и только за последний год (с мая 2021 года по май 2022 года) их количество в России увеличилось почти в два раза.

Дорогое оборудование, современные системы часто оказываются бессильными, поскольку самым слабым звеном в системе защиты оказываются сотрудники компании.

Атаки с использованием фишинговых сайтов показывают свою эффективность из года в год. Открытие фишинговой рассылки влечет за собой существенные финансовые убытки для компании. Пользователи давно привыкли к многочисленным рассылкам: магазины, сервисы, проверенные источники информации. По статистике вредоносные письма открывают до 85 процентов сотрудников, чаще всего это специалисты, напрямую не связанные с ИТ: бэкофис, менеджеры, помощники, стажёры. Однако у них может не быть интересующих злоумышленников прав доступа, поэтому ущерб компании от похищения таких учетных записей редко бывает существенным. Другое дело ИТ-специалисты, финансисты и, что удивительно, специалисты по информационной безопасности. Как правило, они обладают повышенными привилегиями, но при этом не всегда обладают необходимыми для распознавания и противодействия кибератакам.

Например, бухгалтер крупной компании получает письмо от любимого магазина о скидках на товары для дачи, проходит по ссылке что-то посмотреть или пытается совершить покупку. В это время вредоносная программа уже начала работу. Данные с компьютера бухгалтера становятся известны злоумышленникам: можно проводить операции с финансовыми средствами или получить конфиденциальную информацию.

Отличить фишинговую рассылку от настоящей неподготовленному пользователю сложно. Лучший совет, который дают специалисты – вообще не открывать подозрительные письма, приходящие на корпоративный email. особенно с внешних почтовых доменов. В тоже время злоумышленники могут воспользоваться и персональными данными сотрудникам. Как же все-таки понять, что пришло фишинговое письмо? На что обращать внимание?

• Не пропущена ли какая-либо буква в домене?
• Нет ли во вложении файлов неизвестного формата?
• Известно ли от кого это письмо?

Достаточно часто сотрудники забывают о достаточно простых правилах безопасности. Отдельной «находкой» злоумышленников становится рассылка, стилизованная под корпоративное письмо, где основная ставка сделана на любопытство сотрудников. Случай из практики, когда секретарь не смогла открыть письмо с якобы зарплатной ведомостью, переслала коллеге, другая переслала системному администратору, который также пытался открыть вложение. Результат – взлом корпоративного сервера, утечка персональных данных клиентов компании.

Наиболее популярные темы фишинговых рассылок:

• Информация о скидках и акциях от известных торговых сетей;
• Сезонные распродажи в дачный сезон и к праздникам;
• Информация о подарках;
• Конфиденциальная информация о сотрудниках или руководстве компании.

Для повышения грамотности сотрудников в вопросах информационной безопасности компании все чаще проводят практическое обучение с использованием специализированных платформ, позволяющих провести учебную атаку, собрать статистику по компании, а также направить «попавшихся» пользователей на обучающий портал для прохождения курса по информационной безопасности.

Пример обучающей фишиноговой атаки:

В сезон отпусков берем реальную релевантную рассылку. Меняем некоторые данные: тему письма, корректируем контент, вставляем необходимую ссылку и отправляем сотрудникам компании свой вариант.

В данном случае учебная атака проводилась в ИТ компании с высоким уровнем подготовки в вопросах ИБ. По ссылке в письме перешло не более 15% сотрудников, которые были направлены на обучающий курс. Чем чаще проводятся превентивные меры, тем ниже риск неправильных действий при реальной кибератаке.

По оценкам специалистов, злоумышленники будут только наращивать свою активность. Наибольшей угрозе подвержены незащищенные организации с низким уровнем знаний о кибербезопасности.

Минцифры запустило систему мониторинга фишинговых сайтов

Минцифры 6 июня 2022 года объявило о запуске системы мониторинга фишинговых сайтов. Подробнее здесь.

Мошенники используют фишинг под сервисы Apple

17 мая 2022 года компания Group-IB сообщила о появлении мошеннических схем для кражи денег, данных банковских карт и учетных записей Apple под предлогом оплаты и использования сервисов Apple Store, Apple Pay и iTunes. Всего за последние два года эксперты Group-IB обнаружили в зоне RU более 5 000 доменов, созданных для фишинговых атак на россиян только для получения доступа к iPhone и сервисам Apple. Подробнее здесь.

Мошенники рассылают фишинговые письма от имени Минцифры и Роскомнадзора

Мошенники рассылают фишинговые письма от имени Минцифры и Роскомнадзора. Об этом стало известно 31 марта 2022 года.

О данной схеме обмана рассказала компания Malwarebytes, специализирующаяся на кибербезопасности.

C 23 марта на электронную почту российских пользователей регулярно приходят сообщения, якобы от лица представителей Минцифры и Роскомнадзора. В письмах содержится предупреждение о незаконности использования запрещенных в России веб-сайтов, социальных сетей, мессенджеров и VPN-сервисов для обхода их блокировок. К посланию прилагается файл в формате RTF со списком запрещенных ресурсов.

Эксперты выяснили, что при открытии документа на смартфоне, ПК или любом другом устройстве пользователя скачивается HTML-файл, который активирует скрипт, позволяющий мошенникам получить удаленный доступ к данным устройства.

Рассылка фишинговых писем настроена в первую очередь на адреса электронных почтовых ящиков с доменами mail.ru, yandex.ru, mvd.ru, cap.ru и minobr-altai.ru^[7].

2021

«Рубитех» - создатель системы мониторинга фишинговых сайтов

В ноябре 2021 года Минцифры заключило с компанией «Рубитех» контракт на создание системы мониторинга фишинговых сайтов. Победитель конкурса предложил реализовать проект за 128,3 млн рублей при начальной (максимальной) цене контракта в 132,2 млн рублей. Выполнить работу подрядчику нужно будет до 1 июня 2022 года. Подробнее здесь.

Массовое появление поддельных сайтов госуслуг

С 18 по 21 октября 2021 года в зоне .ru зарегистрировано было 48 доменных имен, имитирующих портал госуслуг (gosusliga.ru, gosusluni.ru и др.). Об этом сообщили эксперты Infosecurity a Softline Company. Подробнее здесь.

Россияне столкнулись с массовой вредоносной рассылкой якобы от ФНС

В конце сентября 2021 года Федеральная налоговая служба (ФНС) предупредила о вредоносной рассылке, которую начали злоумышленники, используя имя ведомства.

С 29 сентября в ФНС России поступают жалобы о получении подозрительных писем. Неизвестные от имени ФНС России рассылают сообщения на адреса корпоративной почты о том, что необходимо предоставить документы. Текст электронного письма составлен так, чтобы получатель открыл вложенный файл, — говорится в сообщении службы.

В ФНС напомнили, что ведомство не рассылает подобные сообщения и не имеет отношения к этим письмам. Уведомления о начисленных налогах налогоплательщики получают или в личных кабинетах, или по почте. Дополнительно на электронные адреса налогоплательщиков налоговые органы ничего не присылают.

30 сентября 2021 года «Лаборатория Касперского» сообщила, что эксперты компании зафиксировали вредоносную рассылку от имени ФНС – выявлено более 11 тыс. попыток запуска вредоносного вложения. При этом отмечалось, что реальное ведомство не имеет никакого отношения к данной рассылке.

По данным «Лаборатории Касперского», в письме есть вредоносный архив с паролем весом около 20 мегабайт, вложение относится к типу RMS – ПО для получения удаленного доступа. Приложение использует IP-адреса и домен в зоне .ru, при подключении к командным серверам задействованы порты 5651, 4443, 8080.

Открывшим вложение советуют скачать антивирус на зараженное устройство, отключить его от сети и в безопасном режиме перезагрузить, удалить временные файлы, запустить сканер, удалить вирус или переместить его в карантин, после чего перезагрузить компьютер, поменять пароли.

Продукты «Лаборатории Касперского» блокируют это вирусное ПО с вердиктом Backdoor.Win32.RABased.^[8][9]

Мошенничество с использованием домена госорганов gov.ru

В июле 2021 года стало известно о новом виде мошенничества с доменом государственных органов gov.ru — его используют для рассылки фишинговых писем. Об этом сообщили в администрации сети RSNet (Russian State Network, сегмент интернета для российских органов власти). Подробнее здесь.

2020

Роскачество предупредило о волне мошенничества с фишинговыми сайтами перед выборами

19 июня 2020 года Роскачество предупредило о волне мошенничества с фишинговыми сайтами перед выборами. Близится дата начала голосования по принятию поправок в Конституцию РФ. В Рунете начали появляться сайты-клоны портала по изменениям в основной закон страны — 2020og.ru. На доменах со схожими названиями и дизайном содержится только информация про голосование, однако ситуация, несомненно, изменится через 7 дней, когда начнется голосование. Как результат – нахлынет волна мошенничеств, связанных с фишинговыми сайтами.

«На 17 июня 2020 года экспертами обнаружено более 10 похожих доменов: 20200g.ru, 2020og-ru.ru и другие. Среди доменных имен, например, lk-gosuslug1.ru или rf-gosuslugi.ru, но пока однозначно связать их с темой голосования нельзя. С другой стороны, появляются подозрительные сайты, которые не пытаются копировать домены официальных порталов, но в названии обыгрывают тему голосования. Например, сайты golosovanie2020.ru или konstituciya-rf.ru», говорится в сообщении ТАСС Информационное агентство России

Пользуясь невнимательностью пользователей, мошенники начинают собирать персональные данные, с помощью которых в дальнейшем будут похищать денежные средства. Как не дать себя обмануть? Центр цифровой экспертизы Роскачества подготовил рекомендации по защите от мошеннических фишинговых сайтов.

Несколько базовых антифишинговых правил при обращении с электронными письмами:

1. Обязательно нужно проверить адрес, с которого пришло письмо. Зачастую мошенники стараются делать адреса своих мошеннических сайтов очень похожими на оригинальные и при беглом просмотре письма может показаться, что все в порядке, но лучше все же проверить адрес, особенно если письмо чем-то выбивается из обычного стиля общения с этим адресатом (и точно всегда стоит проверять письма, пришедшие от кого-то впервые).
2. Нужно проверить, является ли письмо обезличенным. Стоит обращать внимание на то, есть ли в письме имя, и к кому идет обращение. Иногда мошенники в письмах просто говорят «Привет» и не вписывают имени адресата, в других случаях адрес электронной почты адресата будет использоваться после «Привет». Такой безличный подход к контакту является еще одним признаком того, что за электронной почтой, скорее всего, стоит мошенник. Неправильное использование падежей (в случае, если преступники интернациональны) или механическая конструкция предложений также являются верным признаком того, что это фишинг.
3. Нужно проверить даты. Иногда мошенники могут забыть указать верные даты. Например, в письме приглашают на мероприятие, но время данного мероприятия уже истекло.
4. Проверить ссылки. Почти всегда мошенники в фишинговых письмах пытаются выдать себя за крупные компании и организации. В письме может находиться ссылка, ведущая на сайт, дизайн которого, как правило, копирует эту организацию. Лучше не переходить по таким ссылкам (сам акт перехода уже может запустить вредоносный процесс), но, если так получилось, что пользователь нажал на веб-сайт, считая его подлинным, обязательно нужно проверить, что это достоверный сайт компании. Для этого можно открыть новую вкладку и выполнить поиск организации. Нажать на их веб-сайт, а затем сравнить URL-адреса. Нужно взять за правило не переходить по ссылкам из писем, а вместо этого вручную вводить адрес сайта в поисковой строке. Если у пользователя есть учетная запись на сайте, на котором у него новое сообщение, нужно залогиниться вручную в браузере и проверить, действительно ли сообщение там есть. Если это не так, то полученное электронное письмо скорее всего было направлено мошенником.
5. Нужно проверить запрашиваются ли банковские данные. Большинство легальных организаций не будет запрашивать банковские или иные персональные данные в письме. Личная информация включает в себя такие вещи, как номер кредитной карты, пин-код или код безопасности кредитной карты, девичья фамилия матери или любые другие ответы на вопросы безопасности, которые мог ввести пользователь. Если в электронном письме просят обновить или повторно ввести личные или банковские данные, это практически всегда мошенничество.
6. Давление, упор на спешку. Мошенники попытаются оказать давление, побуждая пользователя действовать прямо сейчас или упустить предложение. Нельзя торопиться, нужно сделать все возможные проверки подлинности сообщения.

«Еще раз необходимо подчеркнуть, что именно от действий пользователя (попадется ли он «наживку» фишера) зависит в девяти из десяти случаев, будет ли скомпрометирован его телефон или компьютер (что практически одно и то же в современной домашней цифровой экосистеме, когда устройства работают в рамках одной сети). Совет — нужно быть внимательным и проверять все, что приходит, не открывать все подряд на автомате», отметил Илья Лоевский, заместитель руководителя Роскачества

Согласно исследованию Positive Technologies, для эксплуатации 87% уязвимостей в мобильных приложениях злоумышленнику предварительно «требуются какие-либо действия со стороны пользователя». Как правило речь идет про фишинговые рассылки и последующее посещение подозрительных сайтов по ссылкам из писем, мессенджеров или SMS. Безопасность ослабляют также такие факторы, как повышение привилегий в мобильной ОС до административных и установка приложений не из официальных магазинов App Store и Google Play.

Роскачество дало рекомендации по борьбе с фишингом:

1. Обязательно игнорировать все ссылки и вложения, которые размещены в письмах с незнакомых адресов. Как правило, в подобных файлах, скрывающихся под отчеты или непонятные графические изображения, могут быть серьезные вирусные программы.
2. Нужно убедиться, что антивирусное программное обеспечение всегда включено и обновлено до последней версии, поскольку это обеспечит дополнительный уровень защиты, если пользователь все же случайно загрузил компьютерный вирус после нажатия на ссылку или загрузки вложения.
3. Регулярно создавать резервную копию всех важных файлов. Если все рубежи антивирусной защиты будут преодолены, и пользователь потеряет важные файлы, то хотя бы их копия будет в сохранности. Хранить копию физически на отдельном диске или в облаке (в этом случае обязательно защитить файлы паролем).^[10]

Число мошеннических сайтов в России за год удвоилось

К концу марта 2020 года количество мошеннических сайтов в России удвоилось по сравнению с аналогичным периодом 2019-го, а число переходов на такие ресурсы увеличились 10-кратно — до 15 млн. Такие данные 6 мая 2020 года привели в «Лаборатории Касперского».

Специалисты компании выявили около 10 тыс. фишинговых сайтов, на которых у россиян пытаются выманить деньги. Схемы встречаются разные. В них, как правило, пользователям обещают крупное денежное вознаграждение за прохождение опроса или участие в голосовании. Чтобы получить деньги, человеку необходимо оплатить «комиссию» или «закрепительный платеж». Обычно это небольшая сумма порядка 200 рублей. Но никаких выплат пользователь не увидит, а «комиссия» достается злоумышленникам. В дополнение человек рискует сохранностью своей платежной информации, если вводил данные карты.

Если бы каждая заблокированная попытка перехода на мошенническую страницу повлекла за собой обман хотя бы одного пользователя, то потенциальная сумма ущерба только в первом квартале 2020 года могла превысить 3 млрд рублей, оценивают в «Лаборатории Касперском».

По данным компании, самыми привлекательными категориями для мошенников являются банки, пенсионные фонды, знаменитости и государственные лотереи, последние из которых стали активно использовать злоумышленники именно в начале этого года.

Кроме того, в поле зрения злоумышленников попали государственные лотереи. «Лаборатория Касперского» обнаружила 219 псевдолотерейных мошеннических ресурсов, на которых аферисты просят перевести деньги за оформление выигрыша. Злоумышленники создают фишинговые сайты для сбора личных данных, рассылают по электронной почте и SMS-ссылки на них и просят пользователей ввести личные данные — пароли и реквизиты карты, а затем крадут деньги со счетов.^[11]

2019: Снижение доли Рунета в общем числе сайтов с фишингом или вредоносным ПО

5 июля 2019 года компания Group-IB сообщила о том, что российская доменная зона, по итогам 2018 года достигла рекордных показателей по снижению объема токсичных сайтов. Об этом сообщил Центр реагирования на инциденты кибербезопасности CERT-GIB Computer Emergency Response Team - Group-IB. При росте на 30% в 2018 году числа потенциально опасных ресурсов, содержащих фишинг или вредоносное программное обеспечение (ВПО), на долю Рунета пришлось менее 20% таких сайтов, тогда как в 2017 доля токсичных ресурсов в зоне РУ составляла почти 50% среди всех заблокированных специалистами CERT-GIB. Кроме того, специалисты отмечают, что фишинг становится более дешевым и изощренным, но злоумышленники постепенно уходят из РУ. Пользователи по-прежнему открывают вредоносные exe-файлы, а HTTPS больше не синоним безопасности.

В Group-IB отметили, что несмотря на 30-процентное увеличение количества опасных веб-сайтов, содержащих фишинг или вредоносное ПО, обнаруженных и заблокированных CERT-GIB (c 4264 веб-сайтов в 2017 до 6217 в 2018 году), использование доменов в зоне РУ стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в Рунете, уменьшилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать домены верхнего уровня «New gTLD» (.online; .website; .space и т.д.).

Такой тренд объясняется в том числе активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. Благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% в 2018 году по сравнению с прошлым годом.

Общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая РУ, выявленных и заблокированных CERT-GIB в 2018 году, увеличилось на 44% по сравнению с 2017 годом. Каждый квартал, в среднем, рост составлял 15%. Так, 2018 году в рамках работы CERT-GIB была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга.

Однако, только 10% из этого количества пришлось на домены в российской зоне – 458, в то время как в 2017 году на их долю приходилось 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года – 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году соответственно.

2017

По инициативе Сбербанка за год в России выявлено свыше 600 фишинговых доменов и 1300 сайтов с вирусами

По инициативе Службы кибербезопасности Сбербанка с начала года в российском интернет-пространстве было выявлено и закрыто свыше 600 доменных имён, использовавшихся для фишинговых атак, около 200 мошеннических площадок и более 1300 сайтов, распространявших вредоносное программное обеспечение. Об этом 15 сентября 2017 года заявили в Сбербанке.

Мы уделяем самое пристальное внимание вопросам борьбы с фишингом, — заявил заместитель председателя Правления Станислав Кузнецов. — Однако выявить и провести необходимые действия по сайтам преступников — полдела. На «удочку» мошенников попадаются люди доверчивые, не обладающие должными навыками защиты от киберфрода. Именно поэтому приоритеты Сбербанка сдвигаются в сторону профилактических мер по повышению финансовой грамотности населения.

По информации Сбербанка, одна из самых распространённых схем фишеров следующая: жертве приходит сообщение заманчивого или, наоборот, пугающего содержания с предложением либо направить персональные данные (логины, пароли банковских карт), либо перейти по ссылке на некий сайт, на котором опять же нужно ввести свои данные. Более 48% интернет-пользователей, получающих фишинговые письма, откликаются на них и становятся жертвами преступников.

Поскольку целью номер один для фишеров являются финансовые сервисы, большинство из которых составили онлайн-банки, Сбербанк разработал для представителей сферы специальную программу повышения уровня киберграмотности, включающую интерактивные курсы и последующее определение признаков фишинговых атак на практике.

Центробанк за 8 месяцев выявил 481 мошеннический сайт

В отчете Центра мониторинга и реагирования на компьютерные атаки в финансовой сфере (ФинЦЕРТ) отмечается, что «с 1 января по 1 сентября 2017 года Центр отправил информацию о 481 домене различной мошеннической тематики, подлежащем разделегированию».

По итогам рассмотрения 367 доменов были заблокированы регистраторами. Среди них такие ресурсы, как 84 сайта с Р2Р переводами, собирающие данные платежных карт пользователей (имя владельца, номер, срок действия, код подлинности карты) в противоправных целях, 44 ресурса лжебанков, 45 «страховых компаний» и 39 финансовых пирамид.

Также блокируется от 20 до 30 сайтов «авиакомпаний», интернет-магазинов, «микрофинансовых организаций», ресурсы с вредоносным ПО и площадки, посвященные мошенничеству в финансовой сфере и продажам дампов (копий) банковских карт.

«АльфаСтрахование» предотвратила работу двух поддельных сайтов по продаже Е-ОСАГО

В 2016-2017 гг. «АльфаСтрахование» дважды сталкивалась с попытками создать фишинговые сайты, которые выдавали свой калькулятор по ОСАГО за калькулятор компании с целью сбора информации о платежных картах клиентов и дальнейшего мошенничества с ними. Компания полностью поддерживает решение ФинЦЕРТ Центрального Банка России и Российского союза автостраховщиков (РСА) отслеживать сайты, предлагающие фальшивые полисы Е-ОСАГО. Подробнее здесь.

2016

Банк России хочет получить право отключать домены фишинговых сайтов

Центробанк РФ и Координационный центр национального домена сети интернет (КЦ) ведут переговоры о предоставлении организации FinCert право отключать в национальных зонах .ru и .рф домены, через сайты которых осуществляется хищение средств. Соответствующий договор стороны планируют подписать до конца нынешнего лета, сообщают СМИ.

Речь идет об отключении фишинговых сайтов, позволяющих злоумышленникам получить доступ к номерам кредитных карт клиентов банков и другой конфиденциальной информации. После подписания соглашения FinCert получит полномочия разделигировать домены, используемые для фишинга, хищения данных кредитных карт или подделки страниц финансово-кредитных организаций. По информации издания, в настоящее время Центробанк проводит работы по снятию с делегирования доменов, через сайты которых осуществляются фишинговые атаки.

По мнению интернет-омбудсмена Дмитрия Мариничева, предоставление ЦБ права отключать фишинговые сайты является правильной инициативой, поскольку регулятор владеет актуальной информацией о хищении средств через интернет. Назначение Центробанка компетентной организацией снизит риск, что кто-то «попадет на деньги», считает Мариничев.

ЦБ получил право блокировки сайтов с вредоносным контентом

Интернет-сайты с вредоносным контентом, относящимся к сфере финансовых рынков и национальной платежной системе, будут блокироваться на основе данных, полученных от Центробанка. Об этом сообщило ТАСС Информационное агентство России^[12].

Такие действия предусмотрены в соглашении между Банком России и Координационным центром национального домена интернета – администратором национальных доменов верхнего уровня «.рф» и «.ru».

ЦБ получил статус компетентной организации, наделенной правом выявлять сайты-нарушители, которые распространяют вредоносные программы, ресурсы с противоправным содержанием, фишинговые сайты, и предоставлять эти сведения координационному центру и аккредитованным регистраторам доменных имен для блокировки таких ресурсов.

Кроме того, Банк России призвал граждан информировать регулятора о недобросовестных сайтах, находящихся в отечественном доменном пространстве.

Примечания