Изображение: grok
Аналитики Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК “Кросс технолоджис”) фиксируют тренд в фишинге: злоумышленники начали отказываться от использования имен брендов в названиях доменов, чтобы усложнить автоматическое выявление по простым маскам.
Традиционно фишинговые домены состоят из названия бренда или организации и ключевых слов. Таким образом, мошенники, с одной стороны, делают адреса более убедительными, а с другой стороны, становятся достаточно простой мишенью для обнаружения OSINT-специалистами и DRP-решениями.
По данным, которые изучили специалисты SBA, количество “небрендовых” фишинговых доменов для популярных среди мошенников компаний — банков, магазинов, мессенджеров и т.д. — достигает 20%. При этом для сохранения естественного SEO-продвижения злоумышленники размещают имена брендов в содержимом страницы, изображениях, favicon, ссылках, title, текстах кнопок, формах входа или сценарии переадресации.
“Мошенники используют различные схемы, чтобы избегать блокировок доменов. Например, переводят пользователей в мессенджеры, в том числе чтобы получить доступ к экрану телефона якобы для помощи в настройке программ, при этом видят, какие банковские приложения установлены, и даже могут попросить войти в одно из них, чтобы оценить финансовые возможности потенциальной жертвы. В таком случае саму фишинговую страницу труднее определить как вредоносную. Отказ от названий брендов в доменах — другой способ продлить жизнь фишинга. Это позволяет оптимизировать расходы, хотя, конечно, от части снижает правдоподобность ресурсов — странный адрес в первую очередь бросается в глаза пользователю. Но несмотря на то что такие домены выглядят менее убедительно, общий уровень эффективности компенсируется за счет массовости и скорости запуска.”, — говорит Сергей Трухачев, руководитель сервиса SBA.
Специалисты также фиксируют другой тренд в использовании мошеннических доменов — размещение нескольких несвязанных между собой фишинговых страниц на одном домене второго уровня. При этом, подчеркивают аналитики, имена доменов могут полностью не совпадать с тематикой фишинговой страницы, что также затрудняет выявление по ключевым словам и снижает эффективность традиционных методов фильтрации.
“Такая схема позволяет мошенникам быстрее и дешевле масштабировать атаки, но делает их более уязвимыми: при блокировке домена может перестать работать сразу несколько фишинговых страниц.”
При этом на практике злоумышленники компенсируют этот риск за счет быстрой смены доменов и размещения инфраструктуры через промежуточные сервисы. Поэтому такой подход сегодня используют не только начинающие группы, но и более опытные участники”, — отмечает Сергей Трухачев.
Оригинал публикации на сайте CISOCLUB: "Мошенники отказываются от имен брендов в названиях доменов ради скрытности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.