Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, заблокировала в 2022 году более 59 000 фишинговых сайтов, из них более 7 000 — в российском сегменте интернета, что в два раза больше, чем годом ранее. Мошеннические ресурсы похищали у пользователей из России логины и пароли, данные банковских карт, аккаунты в мессенджерах. Так, в прошлому году прошла волна атак с помощью фишинговых ресурсов на пользователей Telegram.
 
Если в 2021 году количество заблокированных ресурсов Центром реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) в сети Интернет составило 31 455, то в 2022 году их число увеличилось до 59 282. Страницы киберпреступников в том числе копировали ресурсы популярных у российских пользователей брендов, сервисов, игр. В зонах .ru и .рф. количество заблокированных сайтов выросло более чем вдвое с 3 210 до 7 121.

В целом специалисты круглосуточного СERT-GIB выявили за прошлый год только в зонах .ru и .рф. 20 170 фишинговых доменов, а в 2021 году их число составляло 15 363 домена.  
 
Чаще всего мошенники маскировали фишинговые ресурсы под социальные сети, банки, почтовые сервисы. Злоумышленники пользовались услугами хостинг-провайдеров, расположенных в основном в США, России и Германии. Каждый третий сайт мошенников был размещен в доменной зоне .com — 33,8% от общего числа ресурсов.
 
Фишинговые страницы применялись в схеме по краже учетных записей пользователей в Telegram в декабре 2022 года. Жертвы получали сообщение с просьбой поддержать крестницу или племянницу отправителя в детском конкурсе рисунков, проголосовать за «автора» сообщения в какой-либо онлайн-викторине, получить подарок в виде премиум-подписки в мессенджере. Ссылка в сообщении вела на фишинговый ресурс.  Послания рассылались по адресным книгам взломанных аккаунтов в мессенджере и чатам, где состояли их владельцы. С новыми украденными аккаунтами схема повторялась: по их спискам контактов злоумышленники рассылали сообщения со ссылками на фишинговые ресурсы. В 2023 году злоумышленники для кражи аккаунтов в Telegram также используют сценарий с со-общением от службы поддержки мессенджера об ограничении учетной записи пользователя.
 
«Фишинг остается наиболее распространенной угрозой в интернете, ее масштабы продолжают расти, — отмечает Иван Лебедев, руководитель группы по защите от фишинга СERT-GIB. — Подобные сайты составляют 98-99% заблокированных ресурсов киберпреступников. В первую очередь это ресурсы, которые играют роль одного их основных элементов популярной схемы «Мамонт» (FakeCourier) и её версий, где у жертвы под предлогом фейковой покупки, доставки, аренды или свидания похищают деньги и данные банковских карт».
 
Специалисты Group-IB напоминают основные правила, которые важно соблюдать, чтобы не стать жертвой фишинга:
• В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая приложения из официальных магазинов.
• Следует проверять доменные имена подозрительных сайтов. Чаще всего злоумышленники используют созвучные популярным брендам домены. Старайтесь использовать официальные приложения.
• При онлайн-покупках всегда проверяйте все реквизиты переводов и плате-жей. Никому не сообщайте коды из СМС и пуш-уведомлений, данные карты (ПИН и CVV-коды), персональные данные.
• Никогда не переходите по подозрительным ссылкам от неизвестных отправителей, мошенники могут заразить ваш компьютер или телефон и украсть ваши данные.
• Можно доверять ссылкам, которые указаны в верифицированных аккаунтах компаний в социальных сетях и мессенджерах.

Компаниям бороться с фишинговыми двойниками под их бренд помогает комплексное решение Group-IB Digital Risk Protection для защиты цифровых активов. Всю работу по сканированию ресурсов, закрытых форумов и чатов, анализу данных и обнаружению нелегитимное использованию бренда выполняют средства автоматического мониторинга. В зависимости от типа инцидента предпринимаются оперативные меры реагирования — от прямой блокировки ресурса до удаления нелегальных сайтов и приложений из поисковой выдачи.
 
Напомним, что Центр круглосуточного реагирования на инциденты информационной безопасности CERT-GIB (24/7) — первый частный CERT в России, открытый в 2011 году. CERT-GIB остается одним из крупнейших в Восточной Европе. На базе CERT-GIB развернут Security Operation Center (SOC), специалисты которого отрабатывают события кибербезопасности в российских и международных компаниях, использующих различные системы защиты, в том числе, платформу для раннего предупреждения кибератак Group-IB Unified Risk Platform. CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах.
 
Центром реагирования на инциденты информационной безопасности Group-IB является одной из 12 компетентных организаций, которые предоставляют Координационного центра доменов .RU/.РФ и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен в зонах .ru и .рф. Регистраторы вправе прекратить делегирование доменных имен для подобных ресурсов.
 
CERT-GIB обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах.