2022 год еще раз доказал, что геополитическая обстановка способна серьезно влиять на ландшафт киберугроз. В то же время мы увидели удивительную гибкость и стойкость киберпреступников, а также их способность адаптироваться практически к любым условиям. В этом посте расскажем о том, каким был фишинг образца 2022 года. Как на злоумышленников повлиял уход Visa и Mastercard? Какие темы они использовали для мошеннических схем? Сколько фишинговых доменов появилось за год и какие бренды эксплуатировались чаще всего? Надеемся, вам будет интересно.

Обычно тенденции киберкриминального рынка в России было достаточно легко прогнозировать. Основным мотивом хакеров оставалось желание извлечь материальную выгоду, схемы работы были отлажены и проверены временем, а, значит, никаких активных действий и революционных изменений в общем ландшафте угроз не предвиделось. Но СВО изменила ситуацию.

Во-первых, резко увеличилось количество кибератак. Причем речь идет не только об объектах критической информационной инфраструктуры, атакам подверглись самые разные организации (даже те, которые ранее не были интересны киберпреступникам по причине того, что заработать на них было просто невозможно). В поле зрения хакеров попали все уязвимые ресурсы вплоть до сайтов детских садов. Подобный всплеск произошел благодаря тому, что вектор мотивации атакующих сместился в сторону хактивизма. Если раньше целью атак было желание заработать, то теперь главной задачей стало нанесение ущерба российским организациям и предприятиям. Это привело к тому, что полученные в результате атак данные стали раздаваться бесплатно, а не выставляться на продажу.

Во-вторых, западные санкции и уход из России платежных систем Visa и Mastercard ударили в том числе и по киберпреступникам, ведь привычные им пути вывода денег и способы оплаты зарубежных сервисов оказались нарушены. В марте 2022 года количество фишинговых атак и кибермошенничеств сократилось на 85% по сравнению с показателями января-февраля. Впрочем, уже к концу мая количество сетевых мошенничеств вернулось к предыдущему уровню, а по ряду направлений даже превысило показатели 2021 года. Это значит, что злоумышленники перестроили свои алгоритмы работы и успешно адаптировались к новым условиям.

Наконец, 2022 год можно смело назвать «годом утечек». За год общий объем выставленных на продажу или размещенных в открытом доступе данных россиян превысил 2,8 терабайта.

Самыми громкими инцидентами стали утечки данных клиентов DeliveryClub, СДЭК и Яндекс.Еды - в общей сложности они затронули более 30 млн человек. Несмотря на то, что в большинстве проанализированных нами в течение года базах не содержится информации о платежных средствах, публикация значительных массивов персональных данных сыграла на руку злоумышленникам. В частности, подобную информацию все чаще используют телефонные мошенники, перешедшие от «холодных» обзвонов к более эффективным тактикам.

Подробнее о фишинге

Но перейдем к фишингу, по которому весной был «нанесен серьезный удар». И виной всему стали упомянутые выше санкции и уход из России платежных систем Visa и Mastercard. Дело в том, что украденные у россиян платежные данные злоумышленники нередко использовали для обналичивания на зарубежных сайтах, но в 2022 году это стало невозможным. Очень сложным также оказалось и приобретение зарубежных доменов и хостингов. В итоге для этих целей киберпреступники стали обращаться к услугам российских регистраторов и хостинг-провайдеров. Вот такое «приземление» криминального рынка, которое, впрочем, значительно облегчает их обнаружение.  

Параллельно с этим резко вырос спрос на доменные имена в экзотических доменных зонах: .ml, .tk, .cf, .ga и .gq. Количество фишинговых сайтов в этих зонах выросло по сравнению с 2021 годом в 60 раз. Это обусловлено двумя факторами: регистрация доменов там бесплатна и процесс можно автоматизировать.

Весь год постоянно появлялись тематические фейковые сайты, связанные с сиюминутным спросом на определенные товары и услуги. И если в 2020-2021 годах основной тематикой был COVID-19, то теперь акцент сместился в сторону военного обмундирования и мобилизации. Количество подобных фейковых ресурсов превысило 1200.

Чаще всего для фишинга в 2022 году злоумышленники использовали следующие бренды: «Сбер», «Авито», Ozon, «Додо Пицца», «Красное и Белое», «Альфабанк», ВТБ, Blablacar, «Столото», «МВидео» и «Эльдорадо». На имитацию этих брендов пришлось до 80% от всех выявленных поддельных сайтов, ориентированных на российскую аудиторию.

Так, например, клиентам «Додо Пиццы» и «Красного и Белого» мошенники предлагали призы по результатам фейковых розыгрышей. Только за лето команда «РТК-Солар» выявила более 2 000 доменов в зонах .ml, .tk, .cf, .ga и .gq, применявшихся для обмана россиян якобы от имени этих брендов. При этом сами домены состояли из произвольного набора символов, что по замыслу злоумышленников должно было сбить с толку системы выявления фишинга.

Кстати, наиболее популярное слово, используемое при регистрации фейковых ресурсов – sale (порядка 100 000 случаев). За ним следует bank – более 80 000 тематических доменов по всему миру.

Также в текущем году активно применялись сложные закамуфлированные фишинговые схемы, подразумевающие, что вредоносный контент будет виден лишь тем, на кого он ориентирован. Для этого использовались самые разные решения от уникальных ссылок до сложных алгоритмов, определяющих параметры потенциальной жертвы. Подобный камуфляж еще 2 года назад мы назвали схемой «Хамелеон». С того момента она значительно усложнилась: было видно, что злоумышленники стараются довести камуфляж фишинга до совершенства. На наших глазах сменилось целых 3 поколения этой схемы, каждое из которых было сложнее предыдущего. Также в текущем году мы обнаружили целый ряд фишинговых сетей, состоящих из десятков, а иногда и сотен связанных друг с другом доменов, использующих многочисленные переадресации для защиты от блокировки.

Впрочем, это не помогло тем, кто находится по другую сторону закона: минимальное время блокировки фишинговых сайтов в этом году составило 12 минут с момента обнаружения.

В современных условиях глубокий анализ фишинговых сетей позволяет делать интересные выводы. Так, например, анализируя используемые злоумышленниками сервисы и инструменты, можно понять, кто из них работает из России, а кто из других стран. За последние месяцы почерк российских групп, действующих с территории нашей страны и тех соотечественников, кто оказался за рубежом, сильно изменился. Подобные сведения крайне полезны при расследовании инцидентов и поиске виновных.

Что же нас ждет впереди?

Как видите, злоумышленники благополучно адаптировали свои схемы к новым условиям, поэтому спада криминальной активности в сети ждать не стоит. Это касается как фишинга и мошенничеств, так и непосредственно кибератак. Несмотря на то, что количество атакованных российских организаций в этом году побило все рекорды, не стоит в ближайшие месяцы ожидать и снижения подобной активности. В 2023 году все мы должны в первую очередь делать акцент на безопасности предоставляемых сервисов и услуг, а также на разработку современных отечественных решений в сфере информационной безопасности.

Автор: Сергей Трухачев, руководитель направления аналитики интернет-угроз компании «РТК-Солар»