Как сообщили Forbes в Координационном центре доменов .RU/.РФ, около 70% доменов, разделегированных в российских зонах в связи с фишинговой активностью, содержат только цифры, либо цифры и несколько букв. Мошенники отправляют пользователям сгенерированные фишинговые ссылки на такие домены для оплаты товара и доставки, а для снижения бдительности жертвы к цифровой части домена добавляют название имитируемого сайта или сервиса — например, sberbank.ld1252.ru, youla.id-4007.ru или avito.id6990.ru.
Несколько лет подряд количество цифровых фишинговых доменов растет: в 2020 году центр зафиксировал около 1500 (всего 10229 фишинговых доменов), в 2021-м — 4100 (11637), в 2022-м — 9000 (16324), в 2023-м — 20 000 (28147 по июль включительно). По информации Координационного центра, использование фишерами цифровых доменов началось во время эпидемии COVID-19 вместе с ростом популярности различных служб доставки, однако быстро набрало популярность и сейчас приняло массовый характер. Так, если в 2020 году доля таких доменов составляла 10-20% от общего количества обращений компетентных организаций к регистраторам, то в 2022 году — около 50% обращений, а по итогам шести месяцев текущего года их доля выросла уже до 70% обращений.
Компетентные организации в данном случае — это организации, компетентные в определении нарушений в Рунете. Они предоставляют центру и регистраторам информацию о ресурсах с противоправным контентом, случаях фишинга, несанкционированного доступа к IT-системам. На основании их запросов регистраторы блокируют вредоносные домены.
Во время режима карантина, введенного для профилактики заболеваний COVID-19, увеличился спрос на услуги курьерской доставки, покупатели стали все чаще заказывать товары в интернете, стараясь не выходить из дома, поясняют в Координационном центре: «Этим решили воспользоваться злоумышленники, активировав мошенническую схему с поддельным сервисом курьерской доставки и не только. С того момента пошел рост фишинга в целом и конкретно цифровых доменов.
У этой схемы мошенничества даже появилось свое название — «Мамонт». «Мамонтами» называют потенциальную жертву мошенника. Как работает схема — на одном из примеров: на популярных сервисах бесплатных объявлений злоумышленники размещают так называемые лоты-приманки — объявления о продаже по намеренно заниженным ценам товаров. «Продавцы» под разными предлогами уговаривают жертву перейти для дальнейшего общения в мессенджеры, отличные от чатов сервиса. Далее уже там обмениваются контактами, и жертва получает ссылку в виде цифрового домена (пример: youla.id-4007.ru или avito.id6990.ru) якобы этого легального сервиса для оплаты товара и доставки. Дальше покупатель переходит по фишинговой ссылке — и цель достигнута: покупатель теряет и деньги, и данные карты, при этом оставаясь без товара.
Мошенники объясняют своим жертвам такие доменные имена тем, что они якобы содержат номер заказа или иную служебную информацию, рассуждает руководитель проектов Координационного центра доменов .RU/.РФ Евгений Панков. «Чтобы не стать жертвой мошенников, пользователям стоит быть предельно осторожными с цифровыми доменами и помнить, что доменное имя читается справа налево. Поэтому даже если сервисы «Юла» или Avito начнут использовать домены третьего уровня, доверять можно домену id6990.avito.ru, но не avito.id6990.ru. А также в случае сомнений не пренебрегать службой поддержки того или иного сервиса для уточнения информации», — рекомендует он.
По данным F.A.C.C.T (раньше — Group-IB), в прошлом году компания заблокировала более 59 000 фишинговых сайтов, из них более 7000 — в российском сегменте интернета. Это в два раза больше, чем годом ранее, сообщили в компании. Мошеннические ресурсы похищали у пользователей из России логины и пароли, данные банковских карт, аккаунты в мессенджерах.
Тем временем «Лаборатория Касперского» проанализировала данные собственной платформы Kaspersky Automated Security Awareness Platform, симулирующей фишинг, и обнаружила, что фишинговые письма, посвященные выполнению различных требований политики сетевой безопасности компании, вызывают наибольшее доверие у сотрудников российских корпораций. Сотрудники получали тренировочные фишинговые письма в рамках тестирования по информационной безопасности, и по вредоносной ссылке из сообщений якобы от службы безопасности компании перешли почти 30% получивших их пользователей, а 28% сочли убедительными письма про нарушение корпоративной политики использования веб-сервисов.
Другая распространенная фишинговая ловушка связана с финансовыми вопросами: почти каждый четвертый (24%) открыл письмо, посвященное изменениям в заработной плате, а 23% поверили в сообщения про налоговые задолженности, указывают в «Лаборатории Касперского».