В 2022 году эксперты Group-IB заблокировали более 59 тыс. фишинговых сайтов, из них более 7 тыс. — в российском сегменте интернета. Это почти вдвое больше, чем годом ранее (31 тыс. ресурсов), рассказали в компании. Почему нельзя переходить по сомнительным ссылкам, чем опасен ввод данных на них и как у пользователей воруют деньги с помощью таких ресурсов — выясняли «Известия».
Поддельные сайты
Как сообщили «Известия» в Group-IB, чаще всего в прошлом году мошенники маскировали фишинговые ресурсы под социальные сети (22%), банки (21%), почтовые сервисы (13%), криптовалютные биржи (4,5%) и службы доставки (4%).
— Злоумышленники использовали именно эти отрасли, поскольку пользователи часто заходят в такие сервисы и оставляют в них свои личные данные и информацию о банковских картах, — поясняет руководитель группы по защите от фишинга Центра реагирования на инциденты информационной безопасности Group-IB (СERT-GIB) Иван Лебедев.
В большинстве случаев злоумышленники пользовались услугами хостинг-провайдеров, расположенных в основном в США, России и Германии. Каждый третий сайт мошенников был размещен в доменной зоне .com — 33,8% от общего числа ресурсов.
Также страницы киберпреступников копировали ресурсы популярных у российских пользователей брендов, сервисов, игр. В зонах .ru и .рф. количество заблокированных сайтов выросло более чем вдвое — с 3210 до 7121.
В целом специалисты круглосуточного центра СERT-GIB выявили за прошлый год только в зонах .ru и .рф. 20 170 фишинговых доменов. Для сравнения, в 2021 году их число составляло 15 363.
— Масштабы фишинга продолжают расти, он остается одной из главных интернет-угроз. Обычно такие ресурсы играют роль одного из главных элементов схемы «Мамонт» (FakeCourier), где у жертвы под предлогом фейковой покупки, доставки или свидания похищают деньги и данные банковских карт, — объясняет Иван Лебедев.
В конце года распространилась еще и схема с кражей аккаунтов в Telegram: жертвы получали сообщение с просьбой поддержать ребенка в конкурсе рисунков, проголосовать за чью-то фотографию или получить в подарок премиум-подписку. Ссылка в сообщении вела на фишинговый ресурс.
После этого послания рассылались по адресным книгам взломанных аккаунтов и чатам, где состояли их владельцы. С новыми украденными профилями схема повторялась.
В 2023 году схемы с кражей аккаунтов получили развитие: мошенники начали рассылать сообщения якобы от службы поддержки мессенджера об ограничении учетной записи пользователя, отметили в компании.
Опасность фишинга
Фишинг — это вид онлайн-мошенничества, который включает в себя подделку страницы любой организации, чтобы украсть у пользователей ценные данные (логин, пароль, реквизиты банковской карты). В дальнейшем их могут использовать для шантажа, перепродажи, кражи денег или другой конфиденциальной информации, объясняет «Известиям» контент-аналитик «Лаборатории Касперского» Ольга Свистунова.
— Если человек перейдет на фишинговую страницу и введет на ней свои данные, то они «утекут». По сути, он оставляет информацию непосредственно на ресурсе мошенников. Бывает и так, что злоумышленники заражают вредоносным скриптом официальные сайты компаний, и в этом случае, когда человек заходит на такой легитимный (но зараженный) сайт, его автоматически перенаправляют на фишинговую страницу, — говорит эксперт.
Чаще всего мошенники подделывают страницы крупных известных организаций — тех, кому люди доверяют. В последнее время, по словам Свистуновой, они часто «играют» на теме легкого заработка и инвестиций, предлагая людям от имени разных компаний инвестировать некоторую сумму денег, чтобы в будущем зарабатывать в разы больше.
Это не классический фишинг, а скорее скам (схема, в которых жертве обещают крупную сумму денег или что-то бесплатно), но для его реализации тоже нужны поддельные сайты, поясняет эксперт.
Как отличить поддельный сайт
Чтобы распознать фейковый сайт, важно обращать внимание на название в адресной строке: соответствует ли оно настоящему или просто похоже на него (например, qoogle.com вместо google.com). Еще один признак фишинговой страницы — неработающие кнопки: когда злоумышленники создают подделку, они не копируют сайт целиком, а создают лишь одну или несколько страниц, говорит Ольга Свистунова.
— Мы видели схему, где пользователь, заходивший на поддельный ресурс, пытался кликнуть на другие разделы и видел на экране баннер «Вы находитесь на странице закрытой распродажи. Остальные разделы недоступны». Так злоумышленники «мотивируют» людей не кликать на другие разделы, которые не работают, — рассказала эксперт.
В Group-IB пользователям советуют проверять дату создания домена (это можно сделать с помощью сервиса whois7.ru), обращать внимание на картинки (подделку выдают некачественные и мутные) и значок замка в адресной странице, говорящий о безопасном соединении.
Подозрение должна вызвать и необычная доменная зона (например, вместо .ru или .com сайт зарегистрирован на .online или .website) или чрезвычайно выгодное предложение на ресурсе — вроде «получите 2023 рубля за прохождение опроса».
В компании призывают доверять только ссылкам, указанным в верифицированных аккаунтах компаний в соцсетях и мессенджерах, и не переходить по ссылкам от неизвестных отправителей.
При онлайн-покупках важно всегда проверять реквизиты переводов и платежей. И ни в коем случае не сообщать никому коды из СМС и пуш-уведомлений, данные карты (пин- и CVV-коды) и свои персональные сведения.
Мария Фролова
Фото: Global Look Press/imageBROKER/Michaela Begsteiger
