Скрытная угроза: злоумышленники усилили защиту фишинговых сайтов

Количество фишинговых сайтов с защитой от обнаружения за год выросло в два раза, рассказали «Известиям» специалисты по информационной безопасности. Увеличилось и общее число мошеннических порталов: если за весь 2022-й было выявлено 13,7 тыс. таких ресурсов, то с начала 2023 года — уже 23,8 тыс., сообщили в Роскомнадзоре. Эксперты отмечают, что злоумышленники регулярно совершенствуют варианты атак на пользователей с помощью подобных ресурсов. Наиболее популярными способами привлечения внимания жертв стали методы с применением социальной инженерии, а также перенаправление пользователя на сайт преступников по доменному имени настоящего ресурса.

Фишинг с защитой

Количество фишинговых сайтов с защитой от обнаружения за год выросло в два раза, рассказали «Известиям» в ГК «Солар». Если в 2022 году лишь 27% ресурсов обладали такими системами, то в 2023-м это число составило уже 53%.

— На фоне совершенствования систем противодействия фишингу злоумышленники всё чаще используют различные методы сокрытия вредоносного контента от обнаружения, и эти методы постоянно обновляются, — рассказала эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Диана Селехина.

Фото: ИЗВЕСТИЯ/Анна Селина

Например, чтобы сайт было сложнее обнаружить с помощью специальных средств мониторинга, злоумышленники создают порталы с динамически изменяемым контентом. Такой ресурс может демонстрировать свое реальное содержание лишь тем пользователям, которые соответствуют определенным параметрам, таким как территориальная принадлежность IP-адреса, разрешение экрана, версия операционной системы и браузера и так далее. Эта схема получила название «Хамелеон», уточнила эксперт.

— Согласно замыслу злоумышленников, такой подход должен затруднить автоматическое распознавание вредоносного контента антифишинговым сервисом. Кроме того, в схеме задействовано сразу три доменных имени, лишь одно из которых имеет привязку к реальному бренду, — подчеркнула Диана Селехина.

Вредители на ферме: как защитить смартфон от тайного майнинга

Что делать, чтобы телефон не стал «зомби» для бесплатной добычи цифровых денег

В усовершенствованном варианте этой схемы используется цепочка из десятков произвольно сгенерированных доменов, каждый из которых служил для перенаправления пользователя на вредоносный ресурс, сообщила эксперт.

Для проведения успешной фишинговой кампании злоумышленники учитывают сразу несколько факторов. Ссылка на поддельный сайт должна быть похожа на доменное имя официального веб-ресурса, таким образом она вызовет меньше подозрений у жертвы. Для этого злоумышленники могут менять символы в URL-адресе сайта на похожие. Сам сайт должен в точности имитировать навигацию и визуальный стиль подделываемого ресурса, подчеркнул директор департамента анализа защищенности и противодействия мошенничеству компании BI.ZONE Евгений Волошин.

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

— Одна из задач, которую ставят себе мошенники, — снизить вероятность обнаружения и блокировки создаваемых ими поддельных ресурсов. Чтобы этого избежать, они нередко создают уникальный URL-адрес для каждой потенциальной жертвы и ограничивают время жизни ссылки. Это усложняет детектирование таких фишинговых страниц, — сказал он.

Также мошенники активно используют готовые инструменты для разработки сайтов. Продвинутые системы могут включать в себя элементы, которые снижают вероятность сканирования веб-страницы с мошенническим контентом поисковыми роботами производителей антифишинговых решений, сообщил старший контент-аналитик «Лаборатории Касперского» Антон Яценко.

Крайний сервер: как хакеры выбирают объекты для атаки

Эксперты оценили активность киберпреступников в 2023 году

Бурный рост

Рост числа фишинговых сайтов с защитой от обнаружения прямо связан с увеличившимся числом фишинговых порталов в целом.

— Всего с начала 2023-го было удалено и заблокировано 23,8 тыс. мошеннических сайтов, в 2022 году — 13,7 тыс. Чаще всего блокировались фишинговые ресурсы по финансовой тематике и с предложениями об изготовлении поддельных документов, — рассказали в пресс-службе Роскомнадзора.

Фото: ИЗВЕСТИЯ/Константин Кокошкин

Схожую статистику привели и в Координационном центре доменов .RU/.РФ. По данным руководителя проектов компании Евгения Панкова, в 2022-м было выявлено и заблокировано 15 544 фишинговых домена, а за восемь месяцев этого года — уже более 33 тыс.

— Фишинг развивается в двух направлениях. Первое — это стык с социальной инженерией, когда перед тем, как пользователь получает фишинговую ссылку, мошенники разыгрывают перед ним спектакль, пытаясь уговорить его совершить заведомо подозрительные действия, — подчеркнул специалист.

Нашли предлог: мошенники стали похищать данные россиян под видом верификации учетных записей

Эксперты отмечают эффективность новой схемы социальной инженерии

Второе направление — использование различного рода атак на DNS-серверы (специализированный компьютер, хранящий IP-адреса сайтов в Сети. — «Известия»). Эти атаки позволяют временно перенаправлять пользователей на поддельный сайт по доменному имени настоящего. Такие атаки пока мало распространены именно в нашей стране, так как в российских доменных зонах существуют достаточно строгие правила обмена данными между DNS-серверами, однако возможность их исключена не полностью. В мире же число таких атак постоянно растет, особенно в странах, где DNS-инфраструктура поддерживается устаревшими решениями, рассказал он.

Жизненный цикл фишинговых страниц зачастую не превышает 24 часов, и именно поэтому злоумышленники регулярно совершенствуют методы их обнаружения, резюмировал Антон Яценко.