Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, заблокировала в 2022 году более 59 000 фишинговых сайтов, из них более 7 000 — в российском сегменте интернета, что в два раза больше, чем годом ранее. Мошеннические ресурсы похищали у пользователей из России логины и пароли, данные банковских карт, аккаунты в мессенджерах. Так, в прошлому году прошла волна атак с помощью фишинговых ресурсов на пользователей Telegram.
Если в 2021 году количество заблокированных ресурсов Центром реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) в сети Интернет составило 31 455, то в 2022 году их число увеличилось до 59 282. Страницы киберпреступников в том числе копировали ресурсы популярных у российских пользователей брендов, сервисов, игр. В зонах .ru и .рф. количество заблокированных сайтов выросло более чем вдвое с 3 210 до 7 121.
В целом специалисты круглосуточного СERT-GIB выявили за прошлый год только в зонах .ru и .рф. 20 170 фишинговых доменов, а в 2021 году их число составляло 15 363 домена.
Чаще всего мошенники маскировали фишинговые ресурсы под социальные сети, банки, почтовые сервисы. Злоумышленники пользовались услугами хостинг-провайдеров, расположенных в основном в США, России и Германии. Каждый третий сайт мошенников был размещен в доменной зоне .com — 33,8% от общего числа ресурсов.
Фишинговые страницы применялись в схеме по краже учетных записей пользователей в Telegram в декабре 2022 года. Жертвы получали сообщение с просьбой поддержать крестницу или племянницу отправителя в детском конкурсе рисунков, проголосовать за «автора» сообщения в какой-либо онлайн-викторине, получить подарок в виде премиум-подписки в мессенджере. Ссылка в сообщении вела на фишинговый ресурс. Послания рассылались по адресным книгам взломанных аккаунтов в мессенджере и чатам, где состояли их владельцы. С новыми украденными аккаунтами схема повторялась: по их спискам контактов злоумышленники рассылали сообщения со ссылками на фишинговые ресурсы. В 2023 году злоумышленники для кражи аккаунтов в Telegram также используют сценарий с сообщением от службы поддержки мессенджера об ограничении учетной записи пользователя.
«Фишинг остается наиболее распространенной угрозой в интернете, ее масштабы продолжают расти, — отмечает Иван Лебедев, руководитель группы по защите от фишинга СERT-GIB. — Подобные сайты составляют 98-99% заблокированных ресурсов киберпреступников. В первую очередь это ресурсы, которые играют роль одного их основных элементов популярной схемы «Мамонт» (FakeCourier) и её версий, где у жертвы под предлогом фейковой покупки, доставки, аренды или свидания похищают деньги и данные банковских карт».
Специалисты Group-IB напоминают основные правила, которые важно соблюдать, чтобы не стать жертвой фишинга:
В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая приложения из официальных магазинов.
Следует проверять доменные имена подозрительных сайтов. Чаще всего злоумышленники используют созвучные популярным брендам домены. Старайтесь использовать официальные приложения.
При онлайн-покупках всегда проверяйте все реквизиты переводов и платежей. Никому не сообщайте коды из СМС и пуш-уведомлений, данные карты (ПИН и CVV-коды), персональные данные.
Никогда не переходите по подозрительным ссылкам от неизвестных отправителей, мошенники могут заразить ваш компьютер или телефон и украсть ваши данные.
Можно доверять ссылкам, которые указаны в верифицированных аккаунтах компаний в социальных сетях и мессенджерах.
Компаниям бороться с фишинговыми двойниками под их бренд помогает комплексное решение Group-IB Digital Risk Protection для защиты цифровых активов. Всю работу по сканированию ресурсов, закрытых форумов и чатов, анализу данных и обнаружению нелегитимное использования бренда выполняют средства автоматического мониторинга. В зависимости от типа инцидента предпринимаются оперативные меры реагирования — от прямой блокировки ресурса до удаления нелегальных сайтов и приложений из поисковой выдачи.
Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB (24/7) — первый частный CERT в России, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, платформу для раннего предупреждения кибератак Group-IB Unified Risk Platform. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах.
Центр реагирования на инциденты информационной безопасности Group-IB является одной из 12 компетентных организаций, которые предоставляют Координационному центру доменов .RU/.РФ и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен в зонах .ru и .рф. Регистраторы вправе прекратить делегирование доменных имен для подобных ресурсов.
CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах.
