Пандемия коренным образом изменила интернет, одним из последствий этого стал резкий рост количества схем, направленных на кражу конфиденциальной информации. Каковы тенденции противоправной активности в российских национальных доменах, как осуществляется взаимодействие компетентных организаций и аккредитованных регистраторов? Нужно ли приравнять к онлайн-мошенничеству деятельность сетевых коучей и экстрасенсов? Экспертные оценки этих тем читайте в этой статье.
Гроздья лжи
Россияне реже заходят на сайты злоумышленников, чем в среднем по миру, – лишь около 6% отечественных пользователей попадают на подобные ресурсы, рассказал на Russian Internet Week (RIW 20/21) руководитель управления исследования угроз «Лаборатории Касперского» Александр Лискин. В глобальном масштабе это значение немного выше и достигает 8 процентов.
По его данным, чаще всего деятельность аферистов маскируется под интернет-магазины (36,8% случаев), сервисы обмена сообщениями (6,6%), банки (6,4%), платежные системы (4,5%) и финансовые услуги (3,8%). Одним из самых распространенных видов мошенничества А.Лискин назвал продажу файлов cookies. «Схема довольно простая, ее главная задача – выманить данные банковских карт», – отметил он. Кроме того, в нынешнем году резко выросло число объявлений о продаже поддельных медицинских справок и сертификатов о вакцинации.
В 2021 году по обращениям компании Group-IB было заблокировано 2905 вредоносных доменов в зоне .RU. При этом количество уникальных нейтрализованных ресурсов сократилось на 27%, а число фишинговых порталов на них увеличилось по сравнению с прошлым годом, отметил руководитель центра мониторинга и реагирования Group-IB Александр Калинин.
По его словам, это связано с тем, что на субдоменах может содержаться 5-10 площадок, образующих целые клубки или гроздья мошеннических сайтов.
А.Калинин привел примеры наиболее популярных схем в нынешнем году. Одна из них чаще применяется к мужчинам: человек пытается договориться с дамой о совместном походе в клуб, кинотеатр или ресторан. Он получает ссылку и рекомендацию купить билет на фальшивом сайте. Горе-любовник приобретает его, и на этом коммуникация заканчивается.
Александр Калинин, Group-IB:
Прием очень удобный и недорогой с точки зрения ущерба для пострадавшего. Благодаря своей простоте и эффективности он приобрел массовый характер, и, если жертва не обращается в правоохранительные органы, использованное доменное имя может спокойно работать месяц и даже больше.
Еще один вид онлайн-обмана, который набирает обороты в России, состоит из нескольких этапов, рассказал представитель Group-IB. На телефонный номер какого-то гражданина приходит веб-ссылка с подписью, «предупреждающей» о том, что его банковская карта будет в скором времени заблокирована. Чтобы этого не произошло, нужно немедленно зайти на ресурс и оставить там личные данные, а также сведения о кредитке. После этого аферисты убеждают жертву разрезать карту пополам, чтобы уничтожить. «Приводится даже точная инструкция, как это сделать – не вдоль, а поперек, дабы не повредить чип, который находится в пластиковом носителе. Через какое-то время появляется курьер, который забирает обломки и исчезает», – описывает схему А.Калинин. «Испорченная» карта жертвы, конечно же, вполне сносно работает.
По мнению А.Калинина, у регистраторов должна быть уверенность в том, что на площадке есть нарушения. Вполне может быть так, что они имеют больше информации о подозрительном сайте, чем компетентные организации. По его словам, не всегда вредоносные сайты блокируются так быстро, как хотелось бы, но уже есть улучшения.
Патруль не дремлет
В январе-ноябре нынешнего года почти 9 тыс. сайтов в доменных зонах .RU и .РФ были заподозрены в фишинге, сообщил директор Координационного центра (КЦ) доменов .RU/.РФ Андрей Воробьев. По его прогнозу, число подобных ресурсов в отечественных зонах по итогам 2021 года составит около 10 тысяч.
Для борьбы с киберугрозами в России был создан проект «Доменный патруль», в работе которого участвуют 11 компетентных организаций: Роскомнадзор, «Ростелеком-Солар», ЦБ РФ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Лига безопасного интернета, Региональный общественный центр интернет-технологий (РОЦИТ), «Лаборатория Касперского», компании Group-IB, RU-CERT, BI.ZONE и Dr.WEB, рассказал А.Воробьев.
По словам руководителя специальных проектов КЦ Евгения Панкова, «доменный патруль» является витриной деятельности компетентных организаций и наиболее эффективным механизмом для борьбы с противоправным контентом.
Андрей Воробьев, Координационный центр доменов .RU/.РФ:
На сайте «Доменного патруля» есть подробная инструкция о том, как правильно составить жалобу на противоправный контент в компетентную организацию или на горячую линию МВД.
В январе-ноябре 2021 года число обращений членов патруля с просьбой прекратить деятельность фейков достигло 10 654. В прошлом году их было 10 229. При этом в структуре вредоносной активности фишинг занимает почти 93%, отметил Е.Панков.
В среднем от момента обращения компетентной организации до прекращения делегирования уходит 18-20 часов, но может тратиться меньше времени – 3-6 часов, подчеркнул представитель Координационного центра.
Руководитель группы защиты бренда BI.ZONE Дмитрий Кирюшкин отметил, что специалисты компании находят фишинговые домены чаще в зоне .RU.
Дмитрий Кирюшкин BI.ZONE:
Это можно объяснить тем, что большая часть наших клиентов является русскоязычными. Поэтому злоумышленники, которые нацелены на них, регистрируют свои площадки в этом онлайн-пространстве.
Киберугрозы в дальнейшем будут только расти, следовательно, необходима консолидация всех противостоящих им ресурсов, подчеркнул представитель Российского научно-исследовательского института развития общественных сетей Евгений Кускевич. По его словам, в зоне .SU пока число мошеннических сайтов не столь значительно. Но, как и везде, самым распространенным видом интернет-афер стало выманивание конфиденциальной информации.
Тенденцию роста количества фишинговых доменных имен подтвердила руководитель проектов Координационного центра Ольга Баскакова. По ее словам, в нынешнем году их число в базе проекта Координационного центра «Нетоскоп» достигло 5 миллионов.
Ольга Баскакова, Координационный центр доменов .RU/.РФ:
На первый взгляд кажется, что этот показатель сравнялся с объемом доменов второго уровня в зоне .RU. Но в базе «Нетоскопа» большую часть их составляют имена третьего уровня. Также не все эти ресурсы однозначно можно отнести к зловредным, некоторые пока только подозреваются.
В текущем году в базу «Нетоскопа» было добавлено 239 377 новых фальшивых сайтов, из них 158 849 были связаны со спам-рассылками, 65 117 – с распространением вредоносного ПО и 25 123 – с фишингом.
В октябре-ноябре 2021 года наблюдался рост числа доменных имен, ассоциированных с коронавирусом (вакцинация, тестирование, QR-коды), отметила О.Баскакова. «Не все сайты, которые мы выявляем в рамках мониторинга и передаем в компетентные организации, вредоносны, но пользователям нужно помнить, что использование в доменных именах слов “QR-код”, “сертификат”, “ковид-сертификат” – явный признак фишинга», – подчеркнула она.
Новый вызов
В экспертном сообществе пока нет единого мнения по поводу деятельности онлайн-коучей, организаторов сомнительных курсов личностного роста, экстрасенсов и гадалок. Де-юре они находятся в правовом поле и жаловаться на них некуда, обратила внимание представитель компании Dr.Web София Виллен. При этом, подчеркнула она, эти люди угрожают не только финансовому состоянию, но и физическому, а также психическому здоровью пользователей интернета.
София Виллен, Dr.Web:
Мне приходилось спорить с некоторыми коллегами о том, стоит ли ограждать пользователей от подобной активности в Сети. Часто возникает риторика, что, например, «исцеляющие» от рака молитвы – это «вопрос веры», личное дело человека – верить в это или нет.
Если пользователь обращается к подобным персонажам, его, как правило, начинают запугивать или шантажировать. По сути, это вымогательство, но об этом почему-то не принято говорить, подчеркивает С.Виллен. «Обычно записи таких разговоров не интересны правоохранительным организациям. Очень жаль, что у нас нет единой позиции по этой проблеме, хотя как раз мы могли бы защищать пользователей», – сетует она.
В доменных зонах .RU/.РФ борьба с противоправным контентом налаживается, но возникает новый вызов, заметил А.Воробьев. «Пока российские регистраторы стоят в стороне от этой проблемы. Но в мировой практике есть примеры, когда они работают в связке с профильными госорганами. Например, при продаже контрафактного товара», – сказал он.
Вопрос, нужно ли приравнять деятельность экстрасенсов к онлайн-мошенничеству, открыт, и без обращения в государственные структуры останется в области теории, полагает директор Координационного центра.