Охота на крупную рыбу

Прежде всего напомним, что фишинг — это такой вид интернет-мошенничества, который применяется для кражи идентификационных данных пользователей, номеров карт, банковских счетов и другой конфиденциальной информации.

Как правило, фишинговая атака представляет собой переход жертвы на фейковые сайты, имитирующих интернет-страницы популярных компаний: соцсетей, интернет-магазинов, стриминговых сервисов и т.д. Хакеры рассчитывают на то, что пользователь не заметит подделки и введет на странице личные данные: реквизиты карты, логин и пароль, номер телефона. И мошенники получат его данные. Все решает человеческий фактор: уязвимы даже крупнейшие технологические компании.

В 2020 году Group-IB заблокировала 23 000 фишинговых ресурсов, в 2019 году – 14 000, в 2018-м – 4494. Во втором полугодии 2020-го было закрыто на 57% мошеннических сайтов больше, чем за аналогичный период 2019-го. Причины просты: фишинга становится больше, а Group-IB ежегодно повышает эффективность обнаружения и детектирования преступных схем.

Любопытный тренд, зафиксированный в 2020 году: все больше фишинг-ресурсов используют безопасное соединение HTTPS. Во втором квартале 2020 года количество таких мошеннических сайтов приблизилось к 80% от общего числа фишинга, что на 16% больше, чем за первый квартал 2020-го.

Основной фактор перехода злоумышленников на HTTPS в том, что популярные браузеры отмечают HTTP-сайты как небезопасные, и жертва может испугаться предупреждения и покинуть фишинговый сайт до загрузки вредоносного контента. В конечном счете использование безопасного соединения приводит к увеличению лояльности и доверия посетителей.

Как правило, злоумышленники используют бесплатные TLS-сертификаты, установка которых занимает считанные секунды. Основные издатели таких сертификатов — Let's Encrypt и CloudFlare.

По прогнозам Group-IB, доля фишей, использующих HTTPS, будет расти, потому что мошенники хотят повышать эффективность фишинговых кампаний. Сейчас, по данным компании, почти каждый восьмой фишинговый сайт из десяти уже использует HTTPS.

Group-IB также установила, что в 2020 году фишеры стали чаще использовать CDN-cервисы, чтобы поддерживать устойчивость своих сайтов. Данные сервисы становятся популярнее, их всё больше, появляются более гибкие и дешевые тарифы, и из-за этого интерес злоумышленников к ним тоже растет.

Как и в 2019 году, в 2020-м лидерами по количеству фишинговых страниц стали онлайн-сервисы (45%). Их привлекательность обусловлена тем, что похищая данные учетной записи, злоумышленники также могут получить доступ к данным банковской карты, привязанной к аккаунту. Чаще всего мошенники создают поддельные страницы, требующие обновления данных банковской карты для продолжения пользования сервисом, но в некоторых случаях, похищая данные учетки, они получают доступ и к данным самой карты. В топ-5 пострадавших вошли Microsoft, Amazon, Юла, Avito и Netflix.

Следуют за чемпионами платежные сервисы (14%) и финансовые учреждения (14%).

Киберпреступники действуют исходя из спроса пользователей на интернет-продукты. В 2020 году практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты, так как интерес к ним угас. В 2017-2018 годах именно они были популярны у фишеров.

Во втором квартале 2020 года почти 60% фишинг-ресурсов использовали доменные имена в зоне .com. Это на 22% больше аналогичного показателя за 2019 год. Второе место принадлежит .ru (9%). Фишеры продолжат использовать "мировую" зону .com, так как она наиболее привычна для обычного пользователя интернета.

На графике изображены все доменные зоны, попадавшие в топ за 2019 и 2020 годы. Видно, что в 2020-м в нем оказалось множество доменных зон, которых не было в 2019 году (.pro, .th, .fr, .in, .buzz, .pw, .co), кроме того стала значительно популярнее зона .site.

Во втором квартале 2020 года больше половины фишинг-ресурсов располагалось в США (40%), в России — 28%, на третьем месте по количеству фишинга находится Германия —10%. Таким образом, США вновь вернулись в топ-антирейтинга.

Весомый вклад в резкий рост числа фишей внесла масштабная мошенническая схема «Мамонт», впервые зафиксированная Group-IB весной 2020 года. Режим самоизоляции, введенный из-за ковида, по разным оценкам, увеличил спрос на доставку на 30-40%. Покупатели все чаще заказывают товары в интернете, стараясь не выходить из дома и при этом экономить. Ситуацией воспользовались злоумышленники, активировав мошенническую схему с поддельным сервисом курьерской доставки. Впервые эту схему специалисты CERT-GIB зафиксировали в августе прошлого года после обращений нескольких пострадавших. Однако пик активности пришелся на весну 2020-го. В целом за последние полгода количество регистраций фишинговых доменов, имитирующих бренды курьерских служб, выросло в 7 раз.

В чем суть схемы? На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже товаров с заниженными ценами. Они рассчитаны на разные целевые аудитории — это могут быть фотоаппараты, игровые приставки, ноутбуки, смартфоны, бензопилы, звуковые системы для автомобилей, швейные машинки, коллекционные вещи, товары для рыбалки, спортивное питание и другие вещи. Сервисы борются с подобным мошенничеством, однако лжепродавцы постоянно находят способы обойти блокировку своих сообщений. Покупатель, заинтересовавшись выгодным предложением, связывается с продавцом во внутреннем чате сервиса. «Продавец» предлагает продолжить обсуждение в одном из популярных мессенджеров — якобы для удобства клиента. На самом деле мошенник умышленно уводит покупателя на стороннюю площадку, чтобы служба безопасности сервиса не могла его отследить и помешать «сделке».

Заманив жертву в чат мессенджера, злоумышленники запрашивают у нее контактные данные (Ф.И.О., адрес и номер телефона), говоря, что они нужны для оформления доставки через курьерскую службу. Затем жертве присылают ссылку якобы на сайт популярной курьерской службы. Но на деле сайт оказывается фишинговой страницей, полностью копирующей дизайн курьерского или почтового бренда и использующей доменное имя, похожее на оригинальное. Естественно, подлинные сервисы доставки не имеют к этим сайтам никакого отношения.

Здесь, на фейковой странице заказа, уже заполнена вся информация о покупателе, полученная мошенником на предыдущих этапах переписки. От жертвы требуется лишь подтвердить корректность этих данных и ввести данные своей банковской карты.

Цель мошенника достигнута: покупатель теряет и деньги, и данные карты, при этом оставаясь без товара. Средний чек такой «покупки» составляет примерно 15-30 тысяч рублей.

Интересно, что в 2021 году «Мамонт» пересек границу России и вышел в СНГ, Европу и даже добрался до США. По данным Group-IB, сейчас против пользователей из Румынии, Болгарии, Франции, Польши, Чехии, США, Украины, Узбекистана, Киргизии и Казахстана работают не менее 20 крупных группировок. Еще столько же похищают деньги и данные банковских карт через эту схему у российских пользователей.

Заработок всех преступных групп, использующих схему «Мамонт», оценивается в более $6,2 млн за 2020 год. Согласно прогнозам Group-IB, ущерб от «курьерской схемы» до конца года может вырасти. В отличие от России, где курьерские сервисы, доски бесплатных объявлений и ресурсы по аренде недвижимости первыми приняли на себя удар «Мамонта», в большинстве международных компаний службы безопасности и пользователи пока не готовы к противодействию этому типу мошенничества. А значит, увеличится и число фишей.

Растущий рынок кардинга отражает данную тенденцию. Согласно отчету Hi-Tech Crime Trends 2020-2021, продажи текстовых данных о картах (номер, имя держателя, срок действия, CVV) в 2020 году выросли в два раза по отношению к 2019-му.

Жертвами фишинговых атак могут быть не только обычные пользователи, но и предприниматели, которые в поисках товара зашли на созданные злоумышленниками сайты-клоны производителей. Также жертвами могут стать бухгалтеры и финансисты, работающие с системами ДБО (дистанционного банковского обслуживания). Их атакуют через популярные профильные ресурсы, которые подделывают или заражают вредоносными программами. Чтобы не попасть на удочку мошенников, Group-IB рекомендует: