Центр мониторинга внешних цифровых угроз Solar AURA ГК «Солар» сообщил о сайтах, созданных злоумышленниками с целью кражи аккаунтов в Telegram. Как пишут «Ведомости», речь идёт об однотипных веб-ресурсах с изображениями, при нажатии на которые пользователь попадает на фишинговый сайт, имитирующий переход на страницу сообщества в Telegram.

Источник изображения: Eyestetix Studio/unsplash.com

Сайты содержат картинки с описаниями, объединёнными по тематикам, включая аниме, фанфики (сайты с любительскими сочинениями, основанными на популярных произведениях), интернет-мемы, сайты с порнографическими изображениями, корейскими сериалами и др.

После нажатия на картинку пользователь попадает на фишинговый сайт с имитацией одного из сообществ Telegram, большая часть которых носит название «Тебе понравится». При попытке присоединиться к сообществу пользователь перенаправляется на страницу с QR-кодом или формой для входа в Telegram с предложением указать логин и пароль. «Если ввести на фейковом ресурсе данные для входа в Telegram-аккаунт, информация автоматически попадёт к злоумышленникам», — предупредили эксперты Solar AURA.

Чтобы избежать «угона» аккаунта в Telegram, эксперты рекомендуют пользоваться официальными ресурсами, проверяя их точный адрес через поисковик, а также не предоставлять личные данные на неофициальных веб-сайтах, вызывающих подозрение, и использовать для проверки антивирусные программы.

Ранее «Ведомости» сообщали, что в предпраздничные и праздничные дни 6–10 марта заметно выросло число случаев взлома и угона аккаунтов в Telegram.

Каждый день интернет-пользователи из России совершают около 1,5 млн попыток перехода на фишинговые сайты, причём в 90 % случаев такие переходы происходят со смартфонов, в том числе из мессенджеров, писем и приложений. Об этом пишут «Ведомости» со ссылкой на статистику компании «Яндекс», которая задействовала для обнаружения фишинговых сайтов технологии на базе искусственного интеллекта.

Источник изображения: Nahel Abdul Hadi / unsplash.com

В сообщении сказано, что специалисты «Яндекса» тестировали обнаружение фишинговых сайтов с помощью нейросети с ноября 2023 года. Алгоритм осуществляет проверку того или иного ресурса, прежде чем пустить на него пользователя. Анализируются разные параметры, включая дату создания ресурса, частоту посещений, количество времени, проводимого пользователями на ресурсе, как именно они попадали на ресурс и др.

«Например, у компании появился новый одностраничный сайт, он создан несколько часов назад, зарегистрирован на частное лицо, а не на эту компанию, тогда алгоритмы могут принять его за фишинговый», — рассказал представитель «Яндекса». При выявлении подозрительного сайта запускается дополнительная проверка. Отмечается, что за пять месяцев алгоритм обнаружения фишинговых сайтов выявил свыше 400 тыс. мошеннических ресурсов.

Ещё представитель «Яндекса» рассказал, что нейросети учатся выявлять новые виды фишинга. Он отметил, что в последнее время мошенники часто создают сайты, имитирующие пропавшие из магазинов приложения банков, платформы для взаимодействия с криптовалютными биржами и дейтинговые сервисы. «Киберпреступники очень изобретательны. Мы находили мошеннические страницы, которые предлагали помощь пострадавшим от мошенничества в интернете», — добавил представитель компании.

Руководитель BI.Zone Brand Protection Дмитрий Кирюшкин рассказал, что сейчас одним из распространённых видов обмана является мошенничество под предлогом быстрого заработка. Мошенники также часто имитируют онлайн-площадки для розыгрыша призов, маскируют фишинговые страницы под сайты отечественных банков, компаний с большой выручкой, популярных работодателей. Заместитель директора Центра компетенций «Технологии доверенного взаимодействия» Руслан Пермяков добавил, что сайт признаётся фишинговым по совокупности особенностей, таких как наличие признаков подделки дизайна, попытки замаскировать ссылки, подозрительных элементов на странице и др. Браузер может признать сайт подозрительным из-за отсутствия SSL-сертификата, по причине использования уязвимых протоколов или фреймворков.

По данным Дмитрия Кирюшкина, общее количество фишинговых сайтов выросло на 86 % в 2023 году. При этом в период с ноября 2023 года по март 2024 года число таких ресурсов увеличилось на 24 % относительно показателя за предыдущие пять месяцев. В 2023 году специалисты BI.Zone выявили около 212 тыс. фишинговых сайтов, которые использовались для кражи чувствительных данных, а в феврале 2024 года было обнаружено почти 41 тыс. таких ресурсов.

Стало известно о появлении новой схемы мошенничества, связанной с атаками на абонентов операторов связи. Злоумышленники осуществляют рассылку push-уведомлений о необходимости подтверждения паспортных данных и снабжают их ссылками, ведущими на сайт якобы оператора, а далее на портал «Госуслуг». Там пользователю предлагается ввести логин и пароль от личного кабинета, что позволяет мошенникам завладеть не только учётными данными от «Госуслуг», но и подтверждённой информацией об абоненте.

Источник изображения: Pixabay

На появлении новой фишинговой схемы первыми обратили внимание авторы Telegram-канала True OSINT (Open Source Intelligence), которые и сообщили о том, что злоумышленники стали маскироваться под крупных операторов связи, предлагая абонентам якобы верифицировать номер. По данным источника, один из поддельных сайтов выдавал себя за легитимную страницу МТС, но несколько дней назад он был заблокирован.

Руководитель сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско подтвердил рост количества фишинговых атак, осуществляемых «якобы от лица операторов». В период с января по февраль этого года в Рунете обнаружили свыше 40 тыс. фишинговых ресурсов, по итогам прошлого года количество таких ресурсов выросло в полтора раза относительно 2022 года и утроилось в сравнении с 2021 годом.

Источник на рынке информационной безопасности подтвердил, что злоумышленники распространяют ссылки на фишинговые сайты через push-уведомления. «В них содержится сообщение о том, что необходимо верифицировать паспортные данные для продления работы мобильного номера, при открытии уведомление переводит пользователя на фишинговый сайт», — отметил источник. Он также добавил, что в случае перехода по фишинговой ссылке пользователю предлагается заполнить анкету с указанием ФИО, номера телефона и даты рождения, после чего жертва перенаправляется на поддельную страницу «Госуслуг» якобы для дополнительного подтверждения введённой информации.

Специалисты отмечают, что атаки такого типа позволяют злоумышленникам получить доступ к аккаунтам абонентов на портале «Госуслуг», а также личной информации, которая может в дальнейшем использоваться для таргетированных атак через звонки. В «Мегафоне» сообщили, что имитирующие сайты оператора фишинговые ресурсы «появляются регулярно». Для выявления принадлежащих мошенникам ресурсов «Мегафон» и МТС используют собственные антифишинговые платформы. В Tele2 сообщили, что значительный рост мошенничества с использованием фишинга не наблюдается.

Напомним, поправки к закону «О связи», вступившие в силу с 1 июня 2021 года, дают операторам связи право запрашивать у абонентов подтверждение сведений о них, включая номер телефона, ФИО и др. Операторы могут оказывать услуги только при наличии достоверных сведений об абонентах, поэтому компании периодически просят своих абонентов подтвердить актуальность персональных данных, в том числе через портал «Госуслуг».

В январе-феврале текущего года в Рунете было выявлено около 41 тыс. фишинговых ресурсов, пишет «Коммерсантъ» со ссылкой на ИБ-компанию Bi.Zone. В прошлом году их число выросло почти в полтора раза год к году и в три раза по сравнению с 2021 годом. Эксперты объясняют рост удешевлением и упрощением создания мошеннических сайтов, а также совершенствованием методов атак.

Источник изображения: TheDigitalArtist/Pixabay

По данным компании Bi.Zone, основанным на мониторинге систем поиска фишинга в различных доменных зонах, в 2023 году количество выявленных фишинговых ресурсов составило 212 тыс., в 2022 году — 111 тыс., а в 2021 году — 70 тыс.

В свою очередь, согласно отчёту НИИ «Интеграл» — оператора системы «Антифишинг» Минцифры, в 2023 году было выявлено на 70 % больше таких ресурсов — 355 тыс. сайтов, из них непосредственно фишинговых — 40 тыс. Система «Антифишинг», запущенная в 2022 году, обрабатывает данные в более чем 300 доменных зонах. Как объяснили в «Интеграле», с момента запуска система усовершенствовала методы поиска и расширила охват, что увеличило количество выявленных мошеннических ресурсов. Специалисты оператора также связывают рост с использованием мошенниками готовых решений, что уменьшает стоимость создания фишинговых ресурсов.

В Bi.Zone также сообщили, что по данным за февраль, мошенники использовали для созданных сайтов название или айдентику 70 % крупнейших компаний России и 90 % наиболее популярных банков.

Упрощение технологии создания фишинговых сайтов снижает порог входа для мошенников, сообщил руководитель группы по защите от фишинга компании F.A.C.C.T. Иван Лебедев, отметив, что всего за несколько кликов сейчас можно создать фишинговую страницу и массово распространять ссылку на неё через социальные сети или мессенджеры.

Эксперты считают, что для улучшения обнаружения фишинговых сайтов и писем необходимо внедрять технологии искусственного интеллекта, вводить идентификацию по биометрии и просвещать пользователей. В свою очередь, в «Интеграле» заявили о необходимости ускорения принятия решений по блокировке или разделегированию (то есть выключению доменных имён) фишинговых сайтов, а также совершенствованию законодательной базы.

Борьбу со злоумышленниками осложняет их миграция за рубеж. По словам Лебедева, в 2023 году доля мошеннических ресурсов, которые размещались у хостинговых компаний в РФ, сократилась с 73 до 41 %.

Число случаев мошенничества, связанных с премиальной подпиской Telegram, за год увеличилось в 2,3 раза. Об этом пишут «Известия» со ссылкой на экспертов в сфере информационной безопасности.

Источник изображения: Vika_Glitter/Pixabay

«Число фишинговых доменов, якобы связанных с подпиской Telegram Premium, в январе нынешнего года составило 21. В то время за весь январь 2023 года их было всего девять», — приводит источник слова главы департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова.

Другие аналитики также подтверждают эту информацию. В компании Bi.Zone рассказали, что в январе нынешнего года было выявлено 20 фишинговых веб-сайтов, которые предлагают оформить премиальную подписку или принять участие в какой-либо акции. Представитель пресс-службы координационного центра доменов RU/РФ подтвердил данные касательно количества доменов за январь прошлого года.

«Всего в январе мошенники зарегистрировали 34 домена, так или иначе связанных с мессенджером Telegram. Помимо премиум-подписок, наиболее популярные схемы, которыми пользуются преступники, — участие в голосовании за друзей или детском конкурсе рисунков», — рассказала Диана Селехина, эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар».

Старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова рассказала, что за первые две недели января защитные решения компании предотвратили свыше 155 тыс. переходов на фишинговые сайты, якобы связанных с Telegram. При этом за весь январь прошлого года было совершено только 151 тыс. попыток переходов на такие ресурсы.

10 сентября хакеры взломали аккаунт создателя Ethereum Виталика Бутерина в соцсети X (бывший Twitter) и разместили от его имени пост с фишинговой ссылкой, сообщили «Ведомости». В нём предлагалось пройти по ссылке, чтобы получить бесплатно памятный NFT в честь запуска в Ethereum новой функции по увеличению транзакций. Позже отец Виталика Дмитрий Бутерин предупредил о взломе.

Источник изображения: Kanchanara/unsplash.com

«Не обращайте внимания на этот пост, видимо Виталика взломали. Он работает над восстановлением доступа», — написал старший Бутерин в своём аккаунте в соцсети X. Но, по всей видимости, до появления этого предупреждения немало пользователей приняли этот пост за чистую монету и открыли доступ к своим криптокошелькам, поскольку ущерб от действий хакеров оценивается в немалую сумму.

Согласно подсчётам блокчейн-аналитика ZachXBT, суммарный ущерб на момент взлома составил $691 000. В числе украденных NFT оказались два CryptoPunk (коллекция токенов на блокчейне Ethereum) стоимостью 153,62 Ethereum (около $250 000 на 10 сентября) и 58,18 Ethereum (около $95 000). ZachXBT предупредил о случившемся инциденте своих фолловеров, число которых превышает 438 200 человек.

Основатель криптобиржи Binance Чанпэн Чжао (Changpeng Zhao) посоветовал «руководствоваться здравым смыслом при чтении контента в социальных сетях, даже у лидеров общественного мнения», поскольку «безопасность аккаунта Twitter не предназначена для финансовых платформ». «Ему нужно немного больше функций: 2FA [две степени защиты], логин должен отличаться от дескриптора или адреса электронной почты», — отметил он, добавив, что его аккаунт в Twitter несколько раз блокировали из-за попыток хакеров взломать его. «Это было ещё до “эпохи Илона”», — уточнил Чжао, имея в виду владельца X Илона Маска (Elon Musk).

В 2023 году количество фишинговых ресурсов в Telegram увеличилось в 5 раз. Согласно данным компании Angara Security, в первом полугодии количество таких ресурсов достигло 5 тысяч. Этот тревожный рост, начавшийся в начале 2023 года, ставит под угрозу миллионы пользователей мессенджера.

Источник изображения: LoboStudioHamburg / Pixabay

Аналогичную статистику приводит «Лаборатория Касперского». По её данным, во втором квартале 2023 года попытки перехода российских пользователей Telegram на фишинговые ресурсы увеличились на 39 %. Сооснователь проекта StopPhish Юрий Другач также акцентирует внимание на росте мошенничества. По его словам, за летние месяцы 2023 года количество мошеннических сайтов, связанных с Telegram, выросло на 10 % по сравнению с весной текущего года.

При этом мошенники практикуют разнообразные схемы: от предложений проголосовать на конкурсе до обещаний бесплатного премиум-аккаунта Telegram. Злоумышленники также создают каналы с названием «Избранное», надеясь, что пользователи ошибутся и отправят туда конфиденциальную информацию.

В эпоху цифровизации безопасность стоит на первом месте. Рост фишинговых атак в Telegram — яркий пример того, как важно быть настороже. Многие компании используют этот мессенджер для корпоративных коммуникаций, что делает его особенно привлекательным для киберпреступников.

Включение двухфакторной аутентификации, проверка валидности ботов и каналов, а также осознанное отношение к переходам по ссылкам являются ключевыми моментами для обеспечения безопасности. Не стоит забывать о простых правилах интернет-гигиены: не вводить личные данные на подозрительных ресурсах и всегда проверять отправителя сообщений.

В июле российские компании начали в массовом порядке получать электронные письма с вложениями, заражёнными вирусом White Snake — он предназначен для кражи учётных данных пользователей, конфиденциальной информации, а также получения доступа к микрофонам и веб-камерам на компьютерах, пишет «Коммерсантъ».

Источник изображения: Robinraj Premchand / pixabay.com

Фишинговые письма на адреса российских компаний рассылаются от имени Роскомнадзора и содержат два файла вложений. В одном из файлов — уведомление, в котором утверждается, что на основе «выборочного мониторинга активности» якобы было установлено, что сотрудники компании посещают экстремистские ресурсы и сайты, распространяющие информацию от имени иноагентов. Соответствующие материалы, говорится в уведомлении, приложены во втором файле — их следует изучить и дать по ним пояснение, чтобы избежать административного и уголовного преследования. На самом деле во втором файле содержится ссылка на вредоносное ПО.

Отличительной особенностью кампании является использование «коммерческого» вируса — он продаётся на теневых форумах за $1,9 тыс. единоразово или по подписке за $140 в месяц. Организаторы атаки всячески пытаются заставить потенциальных жертв запустить вредонос, угрожая многомиллионными штрафами и делая пометку «проверено антивирусом» в конце письма, добавили в «Лаборатории Касперского».

Вирус White Snake целенаправленно собирает регистрационные данные через популярные браузеры, такие как Chrome и Firefox, программы вроде Outlook, Discord, Telegram и криптокошельки, рассказали в Positive Technologies. При этом атака на одного сотрудника и кража у него учётных данных позволяет получать доступ к устройствам других. Учитывая, что в большинстве компаний до сих пор не используют двухфакторной авторизации, злоумышленники могут получить постоянную точку присутствия на предприятии, а ущерб может составить от «нескольких миллионов до сотен миллионов рублей», уверены эксперты.

Агентство по борьбе с киберпреступностью (F.A.C.C.T.) зафиксировало массовую фишинговую рассылку 11 июля текущего года. По информации от экспертов, группа киберпреступников XDSpy, вернувшаяся на арену России в марте этого года, организовала рассылку от имени МЧС, пишет «Коммерсант».

Источник изображения: Pixabay/methodshop

Письма, якобы от МЧС, предлагали получателям загрузить вложение, представленное как список сотрудников организации, обвиняемых в «симпатии к группам, подрывающим стабильность в России». Отправители угрожали применением юридических мер в случае нереагирования на сообщение. Однако при открытии файла, маскирующегося под документ формата PDF с перечнем имен, активировалась вредоносная программа, ставшая средством для сбора данных и документов с пользовательских компьютеров.

XDSpy, неоднократно замеченная в подобных вирусных атаках, ранее осуществляла аналогичные действия против российских учреждений. В марте группа применяла такие же методы против МИД России, а в октябре 2022 года рассылка фальшивых повесток была направлена от имени Минобороны.

По данным белорусского Центра Реагирования на Инциденты Информационной Безопасности (CERT), группировка XDSpy, угрожающая организациям России и Беларуси, была обнаружена в феврале 2020 года. Однако, на основании предположений экспертов, деятельность данной группы могла начаться ещё в далеком 2011 году, а её участники, вероятнее всего, находятся в районе нахождения целей.

Пока что не установлено, кто стоит за этими кибератаками и чьим интересам служит данная группа. Согласно данным F.A.C.C.T., основная доля жертв группы XDSpy приходится на Россию. Преступники нацеливаются на государственные и военные учреждения, финансовые институты, а также на энергетический сектор, исследовательские центры и добывающие компании.

В первом полугодии в России стремительно выросло число фишинговых ресурсов, замаскированных под популярные маркетплейсы. Как сообщает «Коммерсант», хотя в выявлении и блокировке таких сайтов задействованы как государственные ведомства, так и легальные торговые площадки, проблема не теряет остроты — процесс создания мошеннических площадок автоматизирован и поставлен на поток.

Источник изображения: iAmMrRob/pixabay.com

По данным Координационного центра доменов.ru/.рф (КЦ), с января по июнь число мошеннических сайтов, мимикрирующих под российские маркетплейсы, выросло в 11 раз год к году. Если за первое полугодие 2022 года в доменных зонах .ru и .рф заблокировали 5 тыс. фишинговых сайтов, то в первом полугодии 2023 года — уже более 18 тыс., больше, чем за весь прошлый год (15,3 тыс. ресурсов).

При этом для маркетплейсов и площадок вроде «Юлы» и «Авито» статистика ещё печальнее. Так, в первом полугодии заблокировано 329 мошеннических доменов, так или иначе, связанных с торговлей на «Авито», 94 — с «Юлой» и 89 — с Ozon. Для 2023 года речь идёт о 2,9 тыс., 1,7 тыс. и 1,5 тыс. соответственно. Основной схемой мошенничество является поддельная продажа — пользователь вводит данные карты на сайте мошенников, после чего последние похищают деньги. Ссылки на такие ресурсы распространяются в первую очередь через мессенджеры. Маркетплейсы стали первоочередной целью потому, что они имеют большие обороты и огромную аудиторию «подготовленных» пользователей, при этом легко клюющих на удочку злоумышленников.

Некоторые эксперты уточняют, что мошенники часто применяют фишинговые ресурсы, использующие малоизвестные зарубежные доменные зоны. В России для блокировки подобных сайтов с лета 2022 года используется система Минцифры «Антифишинг», за рубежом регистрировать их дешевле и быстрее. По данным Минцифры, мониторинг подозрительных ресурсов ведётся постоянно, у торговых компаний уточняют, являются ли обнаруженные сайты фишинговыми, на блокировку таких ресурсов уходит до нескольких часов. Сами маркетплейсы и ресурсы вроде «Авито» принимают собственные меры по мониторингу Сети в поисках фишинговых ресурсов, сотрудничая с Центробанком и другими партнёрами.

При этом как заявляют эксперты, схемы постоянно масштабируются в связи автоматизацией создания сайтов — с помощью фишинговых панелей в автоматизированном режиме генерируются десятки сайтов, аренда такой панели стоит €150, её покупка — €350.

Одна из проблем в том, что часто фишинговая ссылка создаётся под конкретную жертву, поэтому бороться с таким мошенничеством довольно трудно. По мнению экспертов, всё изменится, когда фишинг перестанет приносить значимую прибыль — затраты на создание и эксплуатацию сети ресурсов будут выше прибыли. В качестве эффективной меры называется, например, блокировка самих инструментов для создания фишинговых сайтов.

Поставщики решений для кибербезопасности фиксируют значительный рост в начале года числа фишинговых сайтов, маскирующихся под порталы официальных брендов. Как правило, они преобладают в поисковой выдаче над официальными ресурсами, поскольку мошенники используют инструменты поисковой оптимизации для увеличения рейтинга сайта. Такие атаки помимо финансовых потерь могут привести к взлому официального сайта организации.

Источник изображения: Arget/unsplash.com

Как сообщает «Коммерсантъ» со ссылкой на исследование Positive Technologies, представленное на ПМЭФ-2023, в первом квартале 2023 года число инцидентов, связанных с кибербезопасностью, увеличилось в годовом выражении на 10 % и на 7 % по сравнению с предыдущим кварталом. «Наиболее частыми последствиями успешных кибератак на организации стали утечки конфиденциальной информации — 51 % инцидентов, причём во втором неполном квартале их число уже превысило первый квартал на 4 %», — расскзал директор экспертного центра безопасности Positive Technologies Алексей Новиков.

Также был отмечен значительный рост (16 % год к году) вредоносной рекламы в поисковых системах, то есть таргетированной выдачи фишинговых сайтов под видом официальных брендов. Для опережения выдачи мошеннического ресурса над законным злоумышленники применяли метод поисковой оптимизации (Search Engine Optimization, SEO), пояснили в Positive Technologies.

«Злоумышленники внедряют во вредоносные сайты ключевые слова и используют популярные темы, поисковые системы считывают это и выдают вредоносный сайт раньше, чем оригинальную страницу», — сообщили исследователи, добавив, что этот тренд будет актуальным на протяжении всего 2023 года на всех популярных поисковых сервисах.

SEO-спам — использование неэтичных методов для увеличения рейтинга сайта в поисковой выдаче — применяется мошенниками сейчас постоянно, подтвердила руководитель направления мониторинга и аналитики Innostage Ксения Рысаева, отметив, что фишинговые сайты могут также содержать вредоносные программы для заражения компьютеров посетителей. «Инструмент распространения вредоносных ресурсов через оптимизацию поисковой выдачи эксплуатирует психологию пользователей, которые интуитивно выбирают первые строки в результатах поиска», — добавил технический руководитель направления анализа защищённости центра инноваций Future Crew компании МТС Red Алексей Кузнецов.

По словам руководителя отдела продвижения продуктов компании «Код безопасности» Павла Коростелева, от подобных атак скорее всего могут пострадать сайты небольших онлайн-бизнесов, которые используются в качестве визитки, а не инструмента заработка.

Директор АНО «Институт развития предпринимательства и экономики» Наталья Назарова выделила три ключевых негативных последствия такого вида мошенничества: во-первых, потеря части доходов, во-вторых, значительные репутационные издержки, и в-третьих, есть риск взлома IT-системы бизнеса, если клиент передал личные данные, со всеми вытекающими последствиями.

Получатели писем от веб-служб Microsoft должны уделить особое внимание оценке их реального происхождения. В антивирусных продуктах «Лаборатории Касперского» появилось оповещение, свидетельствующее о том, что киберпреступники стали всё чаще атаковать пользователей с целью кражи данных для авторизации в учётной записи Microsoft.

Источник изображения: Bermix Studio/unsplash.com

Известно, что одним из первых забил тревогу специалист по кибербезопасности Трой Хант (Troy Hunt), выложивший в Twitter информацию о новой фишинговой кампании. По его словам, злоумышленниками используется старый проверенный временем метод рассылки писем от имени легитимной компании.

В частности, эксперт получил сообщение о том, что у его пароля для Office 365 скоро закончится срок действия. В письме предлагалось перейти по ссылке для того, чтобы подтвердить намерение пользоваться старым паролем. Выяснилось, что ссылка на деле ведёт на фишинговый ресурс, требующий войти для авторизации в учётную запись Microsoft. Другими словами, сайт крадёт данные учётной записи.

Источник изображения: Troy Hunt

По данным «Лаборатории Касперского», в данном случае используется техника открытого перенаправления, когда в ссылку на настоящий сайт встроен URL на вредоносный ресурс. После попытки пользователя перейти по предложенной ссылке, злоумышленники перенаправляют его на фальшивую страницу Microsoft, где и пытаются получить его пароль.

Специалисты по информационной безопасности призывают интернет-пользователей быть бдительными, соблюдать критичность мышления и меры цифровой гигиены. При получении подозрительного письма, якобы отправленного Microsoft, не стоит переходить по каким-либо ссылкам из послания. Если для аккаунта действительно настроен срок действия пароля, его можно изменить на настоящем сайте account.microsoft.com.

В этом месяце хакеры провели массовую рассылку фишинговых писем российским компаниям. Вредоносные сообщения отправлялись под видом документов от госорганов о призыве и мобилизации. Об этом пишет «Коммерсантъ» со ссылкой на данные сервиса Bi.Zone.

Источник изображения: Pete Linforth / pixabay.com

В сообщении сказано, что злоумышленники использовали технику спуфинга или подделки адреса отправителя. Получатели получали сообщения с темами «Призыв на мобилизацию», «Всеобщая мобилизация 2023», «Сверка документов Военкомат», «Призывники 2023 список». Электронное письмо также содержало архив или ссылку для его скачивания. В самом же архиве находился вредоносный файл, осуществляющий установку трояна DCRat, который позволяет получить полный контроль над скомпрометированной системой.

«С помощью DCRat злоумышленники делают скриншоты, записывают последовательность нажатия клавиш, получают содержимое буфера обмена и т.д. В итоге у преступников могут оказаться логины и пароли от корпоративный аккаунтов, финансовая информация, персональные данные, а также другие конфиденциальные сведения», — говорится в сообщении Bi.Zone.

По данным компании Positive Technologies, работающей в сфере информационной безопасности, количество хакерских атак на российские компании с помощью вирусов шифровальщиков, которые шифрую данные на скомпрометированных устройствах и требуют выкуп за восстановление работоспособности, с начала года выросло на 77 % в годовом выражении. Эту тенденцию также подтвердили в компании F.A.C.C.T. (бывшая Group-IB), добавив, что количество таких атак в период с января по май этого года выросло на 50-60 %.

По данным Роскомнадзора, в первом квартале 2023 года было удалено и заблокировано 7,2 тыс. фишинговых сайтов, тогда как за аналогичный период прошлого года их количество не превышало 2 тыс. единиц. Отмечается, что такие ресурсы в зоне .ru встречаются всё реже, поскольку хакеры активнее используют малоизвестные доменные зоны, такие как .ml, .tk и др.

Источник изображения: freepik

В сообщении сказано, что наибольшее количество доменов со ссылками по незаконной финансовой деятельности и поддельным документам приходилось на доменные зоны .com (52 %), .ru (13), а также .xyz и .site (по 8 %). Мошенники также использовали домены в зонах .top, .io, .net, .pro и .ws. Минцифры занимается блокировкой фишинговых сайтов с помощью системы «Антифишинг», которая начала функционировать в июне прошлого года. В ведомстве отметили, что в зоне .ru «фишинга становится меньше».

Работающие в сфере информационной безопасности компании подтверждают эту тенденцию. По данным «Лаборатории Касперского», с начала 2023 года наибольшее количество попыток перехода на фишинговые страницы российских пользователей пришлось на доменные зоны .com (48 %), .ru (12 %) и .ws (6 %).

Специалисты F.A.C.C.T. (бывшая Group IB) отметили изменение зон регистрации используемых для фишинга доменов. По их данным, в зоне .ru количество фишинговых ресурсов год к году сократилось с 5,2 % до 4,8 %. При этом в зоне .com за аналогичный период количество регистраций фишинговых страниц снизилось на 14 % и составило 24 %. Такая тенденция может быть связана с деятельностью по обнаружению и блокировке фишинговых страниц, а также с переездом таких ресурсов в зоны бесплатных доменов. В зоне .tk количество фишинговых сайтов за первый квартал выросло в 20 раз, а в остальных зонах — в 4 раза.

Технический директор направления анализа и защищённости центра инноваций Future Crew МТС RED Алексей Кузнецов напомнил, что количество фишинговых сайтов в российском сегменте исчисляется тысячами, а в сегменте .com — десятками тысяч. «Фишинг продолжает набирать популярность, активно эксплуатируя актуальную повестку, а спрос на доменные имена в экзотических доменных зонах (.ml, .tk, .cf, .ga) растёт», — отметил господин Кузнецов.

Cisco Systems прогнозирует, что программное обеспечение с искусственным интеллектом, такое как ChatGPT от OpenAI, в перспективе способно значительно усложнить пресечение фишинговых атак, что потребует от компаний внедрения новых средств защиты.

Источник изображения: Freepik

Около 80 % незаконного доступа к компьютерным системам уже осуществляется посредством фишинга, когда хакеры рассылают электронные письма или текстовые сообщения людям, надеясь обманом заставить их открыть вредоносную ссылку. По словам главы подразделения безопасности и совместной работы Cisco, Джиту Патела (Jeetu Patel), инструменты ИИ могут быстро подстроить эти послания, привлекая больше аудитории к хакерским схемам.

До сих пор фишинговые электронные письма было относительно легко обнаружить, потому что они не были персонализированы для отдельных получателей, а также имели орфографические ошибки. С новым поколением атак будет труднее рассчитывать на то, что люди смогут обнаружить уловку, что увеличит угрозу попыток вымогательства и шантажа.

По словам Джиту Патела, решение заключается в оперативном анализе содержимого интернет-трафика и выявлении закономерностей, указывающих на неблагоприятный исход от сообщения. Эксперт заявляет, что компания, занимающая лидирующие позиции на рынке сетевого оборудования, может использовать своё положение для анализа потоков данных. «Безопасность — это игра с данными. Чем больше у вас данных, тем легче обнаружение аномалий», —добавил он.