Грустный клон: к Новому году ждут роста числа атак в сети

Кража персональных данных осуществляется через копии страниц банков, платежных систем и онлайн-магазинов

В России усилилась активность интернет-мошенников, которые занимаются фишингом — выманиваем персональных данных. Об этом «Известиям» рассказали в «Лаборатории Касперского». За I квартал 2018 года специалистами было зафиксировано 94 млн отраженных попыток перехода пользователей на фишинговые страницы, за второй квартал — 107 млн, за третий — уже 137 млн. Как считают специалисты, в связи с предновогодним ажиотажем и массовыми распродажами в онлайн-магазинах ожидается еще больший рост краж данных, особенно в категории «финансовый фишинг».

Фишеры атакуют

Как пояснила «Известиям» ведущий контент-аналитик «Лаборатории Касперского» Надежда Демидова, в России объемы фишинга продолжают расти на протяжении всего года довольно быстрыми темпами.

— То количество атак, которое мы зафиксировали лишь в III квартале этого года, составило больше половины той величины, которая была обнаружена нами в 2017 году, — рассказала Надежда Демидова. — Этому способствует множество факторов. Мошенники постоянно изобретают новые схемы и уловки, заимствуют идеи у иностранных коллег, задействуют новые каналы распространения спама и фишинговых ссылок, эксплуатируют популярные темы и события в качестве приманки. В общем, недостатка в поводах и инструментах у злоумышленников явно нет.

Один из каналов фишинга — возможность заместить идентичные по написанию буквы одного алфавита на цифры и аналогичные символы латиницы. Из этих букв можно сформировать адрес фальшивой страницы госуслуг, налоговой службы, банка или онлайн магазина. Например, букву «o» можно заменить на 0 (ноль) или букву I (i) на l (L).

— Если все символы имени домена принадлежат набору символов одного языка, браузер отображает их на этом языке, — например, на немецком. Но ведь можно подобрать символы так, что они будут совпадать с латинскими, — объяснил старший контент-аналитик «Лаборатории Касперского» Андрей Костин. — Мошенники подбирают символы, максимально похожие на латинские, и составляют из них доменное имя, похожее на домен известной компании. Фишерам не всегда удается подобрать абсолютно идентичные символы, но выглядят они все равно довольно убедительно.

В некоторых браузерах написание символов из другого алфавита немного отличаются. Но, чтобы увидеть эти минимальные изменения в начертании, глаз должен быть наметан. С другой стороны, нередко фишинговые окна всплывают и на официальных государственных ресурсах.

Левые госуслуги

— Некоторое время назад фишинговой атаке подверглись посетители якобы официального сайта налоговой службы, — сообщил «Известиям» Андрей Костин. — Спам-рассылка, содержала письмо с требованием немедленно перейти на сайт налоговиков. После перехода на сайт как две капли воды похожий на официальный, всплывало окно, куда жертва должна была ввести свои персональные данные от аккаунта, которые затем и отправлялись к злоумышленникам. Также бывали случаи, когда в фишинговое письмо был прикреплен архив с важным документом, при открытии которого скачивался вирус-троянец.

Нередко фишеры делают так называемые клоны — это полная копия страницы какого-либо официального ресурса, на которой может больше ничего не работать, кроме полей для введения персональных данных.

Довольно часто создаются клоны онлайн-магазинов для получения данных банковских карточек. В зону специальных полей пользователь вносит номер своей банковской карты, срок ее годности, ФИО владельца и CVV-код. Таким образом фишер получает абсолютно все данные, нужные для снятия денег со счета.

Однако для того чтобы снять деньги в банкомате, нужно изготовить клон карты, на которую должна быть перенесена эта информация. Это довольно трудоемкий процесс. Другое дело, что можно использовать данные чужой карты для покупок в интернет-магазинах. Обычно этим делом занимается уже другая группа интернет-мошенников.

Распространяются ссылки на фишинговые странички прежде всего с помощью спама. Для этого задействуется электронная почта, соцсети, мессенджеры. Также можно нажать на недобросовестный баннер или перейти на страничку фишера с помощью всплывающей рекламы. Она появляется и на вполне легитимных ресурсах.

Трехуровневая защита

Существуют разные подходы для того, чтобы обезопасить пользователя от кражи данных. Чаще всего применяется  блокировка по локальным базам фишинговых сайтов, мгновенная облачная блокировка и специальная проактивная защита.

Обычно у компаний, которые занимаются профессиональной защитой от фишинга, существует черный список фишинговых страничек, после попадания в который они блокируются. Но для того чтобы свежая информация о пополнении коллекции подозрительных ресурсов попадала к пользователю, должно пройти какое-то время, необходимое на выпуск новых баз, а также нужно всё время обновлять антивирус.

За черным списком следит и облачная защита. То есть все ссылки, добавленные в черный список баз, также попадают и в облако, но в отличие от баз, с момента попадания в список до момента блокировки проходит не более минуты. Главное условие — наличие подключения к интернету.

Кроме того, создается и специальная проактивная защита — по сути, это специально обученная нейросеть, которая по определенным признакам на лету узнает фишинговую страницу и блокирует ее, даже если ссылки еще нет в базах черных списков и облаке. Главные из этих признаков таковы: подозрительная ссылка (замусоренная, содержащая ошибки или замененные цифрами буквы, адресуется по IP вместо доменного имени и так далее), наличие подозрительной лексики на странице, наличие полей ввода логинов, паролей, наличие ссылок на официальный сайт организации.

— К сожалению, автоматизировать процесс защиты от фишинга практически невозможно, — сообщил «Известиям» ведущий аналитик компании SearchInform Алексей Парфентьев. — Самая серьезная защита — это грамотный, думающий пользователь, который не открывает все ссылки подряд. С другой стороны, даже максимально подозрительный человек скорее всего нажмет на ссылку в письме с корпоративной почты от собственного начальника, который продолжает обсуждение важной темы, поднятой на вчерашней планерке. Технически фишинговая атака всегда строится по одному и тому же сценарию. А вот методы психологического давления могут быть очень разнообразными.

За I квартал 2018 года специалистами было зафиксировано 94 млн отраженных попыток перехода пользователей на фишинговые страницы, за II квартал — 107 млн, за III — 137 млн. По мнению специалистов «Лаборатории Касперского», в ближайший месяц в связи с предновогодним ажиотажем и массовыми распродажами в онлайн-магазинах ожидается активизация мошенников и появление большого количества новых фейковых страниц, особенно в категории «финансовый фишинг».

Анна Урманцева

Тематики: Web, Безопасность

Ключевые слова: информационная безопасность, защита персональных данных, Лаборатория Касперского