Цивилизация
На новый лад
За последние полгода число русскоязычных фишинговых сайтов в доменной зоне .cf (Центральной Африканской Республики) выросло на 320%, сообщили «Газете.Ru» специалисты по информационной безопасности из компании Infosecurity a Softline Company. Если раньше такие ресурсы исчислялись единицами и считались аномалией, то сейчас их уже десятки, что позволяет говорить о тенденции, считают в компании. Аналогичные данные приводят эксперты и из других компаний. Например, руководитель отдела развития методов фильтрации контента в «Лаборатории Касперского» говорит, что они наблюдают резкий рост фишинговых сайтов в доменной зоне .cf с начала 2022 года. Похожей статистикой располагает и директор блока экспертных сервисов BI.ZONE Евгений Волошин.
В свою очередь ведущий исследователь вредоносного ПО в Avast Мартин Хрон отметил, что Россия – не единственная и даже не главная страна, чьи граждане последнее время сталкиваются с фишинговыми сайтами, зарегистрированными в непривычной доменной зоне.
«В феврале мы больше всего защитили бразильцев от фишинговых атак с использованием .CF, за ними идут американские пользователи. Россия оказалась на седьмом месте в рейтинге по числу пользователей, защищенных от фишинговых атак, связанных с доменом .CF», — заявил эксперт.
Сайты в доменной зоне ЦАР мало чем отличаются от тех, что кибермошенники создают в доменной зоне .ru. Следовательно, зона поражения тоже остается прежней. Новые вредоносные сайты имитируют оформление легитимных ресурсов все тех же крупнейших российских банков, платежных сервисов, популярных маркетплейсов и сервисов доставки еды, говорит ведущий аналитик отдела выявления цифровых угроз Infosecurity a Softline Company Александр Вураско.
«В основном используются классические и ничем, кроме доменной зоны, не примечательные схемы фишинга. Бывает, что сам сайт создан в зоне .ru, а платежная страница, на которую он переадресовывает пользователя, уже в зоне .cf. Однако я бы не сказал, что это сильно повышает эффективность фишинга. Как правило, люди, которые попадаются на фишинг, мало уделяют внимания таким нюансам. К тому же, .cf – настолько редкий домен, что сразу опознать в нем какую-то угрозу довольно сложно», — говорит он.
В качестве примера атакованных компаний Infosecurity привела сайт, имитирующий работу гипермаркета Leroy Merlin — сам фишинговый ресурс располагается в зоне .ru, тогда как платежная страница, на которую сайт перенаправляет жертву, находится уже в зоне .cf.
В свою очередь в «Лаборатории Касперского» добавили, что, помимо категорий обозначенных Infosecurity, фишинговые сайты в зоне ЦАР также эксплуатируют тему криптовалют, соцсетей и облачных платформ. А по данным BI.ZONE, в зоне .cf нередко регистрируются сайты по шаблонам международных компаний – для большего охвата территории.
«Так, открыв один и тот же сайт из России и, например, Белоруссии, пользователь может увидеть разный контент на странице. Страница будет переведена на язык в зависимости от геолокации», — говорит Волошин.
Дешево-богато
Александр Вураско уверен, что доля фишинговых сайтов в новой доменной зоне продолжит расти. По его словам, главная причина, по которой злоумышленники обратились к инфраструктуре ЦАР и продолжат к ней обращаться, это выгода. Дело в том, что сайты в доменной зоне .cf регистрируются и поддерживаются до года на безвозмездной основе. Не менее значимым фактором, по словам директора по специальным проектам Angara Security Александра Дворянского, является и то, что добиться блокировки сайта, зарегистрированного в ЦАР сложно – процедура может растянуться на несколько дней.
«Помимо того, что регистрация сайтов в ЦАР бесплатна, так еще и блокировка подобных ресурсов занимает много времени, а это как раз очень удобно для мошенников. Поскольку фишинговые сайты живут от 2 до 48 часов максимум, злоумышленникам выгодно, чтобы процесс блокировки подобных сайтов затягивался», — говорит эксперт.
Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд добавляет, что приход кибермошенников в зону .cf может быть связан еще и с тем, что домен первого уровня для жертв выглядит более солидно и убедительно.
Вместе с тем эксперты отмечают, что зоной .cf изобретательность мошенников едва ли ограничится.
Так, по словам Вураско, в мире существует около полутора тысяч доменных зон с разными условиями регистрации и блокировки. Однако предсказать, куда именно мошенники обратятся следующий раз, невозможно.
Впрочем, кое-какие тенденции прослеживаются уже сейчас. В Avast отметили, что недавно зарегистрировали фишинговую атаку ориентированную на русскоязычных пользователей в доменной зоне .info.
Стоять и не бояться
По словам Вураско, новая тенденция хоть и становится заметной, говорить о том, что она представляет какую-то дополнительную угрозу, рано. Доля фишинговых сайтов, зарегистрированных в ЦАР растет, но по-прежнему остается каплей в море. Основную угроза по-прежнему исходит от мошеннических сайтов в зоне .ru. Впрочем, и безобидными новые сайты эксперт не считает.
«Хотя я и не могу привести конкретные доказательства, могу предположить, что жертвы фишинговых сайтов в доменной зоне .cf уже есть. Как минимум потому, что подавляющее большинство мошеннических ресурсов за время своего существования успевают найти жертву», — говорит он.
В целях профилактики эксперт рекомендует в целом избегать русскоязычных сайтов в зоне .cf, которые работают от имени популярных в России компаний. Эксперт с трудом представляет, что какой-нибудь бренд будет регистрировать свой сайт в ЦАР, чтобы работать с российскими компаниями.