Фишинговых сайтов, замаскированных под популярные маркетплейсы, в России в первом полугодии стало на порядок больше. Маркетплейсы стараются выявлять и блокировать опасные сайты, также этим занимается Минцифры. Но процесс создания фишинговых сайтов уже автоматизирован, и ресурсов станет меньше, только когда сама механика перестанет быть выгодной злоумышленникам, считают эксперты.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
“Ъ” ознакомился с данными Координационного центра доменов.ru/.рф (КЦ) по итогам января—июня, согласно которым число фишинговых сайтов, маскирующихся под российские маркетплейсы, выросло в 11 раз относительно аналогичного периода прошлого года. Так, за первые полгода 2022 года в зонах .ru и .рф было заблокировано 5 тыс. фишинговых сайтов, а в 2023 году — уже более 18 тыс. Это больше, чем по итогам всего 2022 года, когда в рунете в целом было заблокировано 15,3 тыс. ресурсов.
Лидером по фишинговым аналогам стал сервис Avito: было обнаружено и заблокировано 2,9 тыс. доменов, за ним следуют «Юла» (входит в VK, 1,7 тыс.) и Ozon (1,5 тыс.), пишет Координационный центр доменов .ru/.рф.
За первое полугодие 2022 года было заблокировано 329 фишинговых доменов по Avito, 94 домена по «Юле» и 89 — по Ozon.
Основная схема мошенничества на копиях маркетплейсов — поддельная продажа, когда пользователь вводит данные карты на сайте, после чего с нее списываются средства, говорят эксперты КЦ. Распространяются фишинговые ссылки на такие сайты в основном в мессенджерах.
Сам выбор злоумышленниками маркетплейсов для кражи средств в центре объясняют тем, что цифровые магазины сейчас составляют «ядро российской электронной коммерции», имеют значительные обороты и, что важно для фишеров, «большое число слабо подготовленных пользователей, которые легко клюют на удочку мошенников».
В компании F.A.C.C.T. (бывшая Group-IB) также отмечают рост фишинговых онлайн-магазинов, работающих по этой схеме. В первом квартале количество выявленных фишинговых доменов оказалось на 12% больше, чем в аналогичном периоде 2022 года, рассказали в компании.
Там уточнили, что сейчас основная масса фишинга, направленного на маркетплейсы, использует зарубежные зоны — .top, .store, .online и др.
Ранее эксперты связывали популярность этих доменов с тем, что регистрировать их быстрее и дешевле (см. “Ъ” от 10 мая). В РФ для блокировок таких сайтов используется система Минцифры «Антифишинг», которая работает с июня 2022 года.
В министерстве “Ъ” сообщили, что ведут постоянный мониторинг и при выявлении подозрительных ресурсов оперативно связываются с компаниями для подтверждения того, что это фишинговые сайты: «Сейчас процесс блокировок в доменной зоне .ru и .рф занимает до нескольких часов». Также по выявлению и блокировке фишинговых ресурсов Минцифры «взаимодействует с компаниями—участниками АКИТ (Ассоциация компаний интернет-торговли), в том числе с такими крупными маркетплейсами, как Ozon и Wildberries».
В самих Wildberries, Ozon, Avito и «Юле» тоже заверили, что борются с фишингом, выявляя и блокируя опасные ресурсы, маскирующиеся под их компании. В Avito добавили, что по данному вопросу сотрудничают с ЦБ и «другими партнерами в области кибербезопасности».
Рост количества мошеннических сайтов, несмотря на меры борьбы с ними, в F.A.C.C.T. объясняют постоянным масштабированием схем:
«Еще какое-то время динамика сохранится, и на месте одного заблокированного сайта будут создаваться сразу несколько: сейчас создаются десятки сайтов в автоматизированном режиме с помощью фишинговых панелей».
Аренда одной фишинговый панели, уточняют в компании, обходится в €150 в неделю, а покупка — €350.
Основной проблемой остается обнаружение таких фишинговых ресурсов — персональная ссылка создается под конкретную жертву, добавляют F.A.C.C.T. Ситуация может измениться, полагают там, когда фишинг перестанет быть выгодным: например, если затраты на создание и функционирование сайтов и схем будут превышать выручку злоумышленников. Добиться этого можно, например, через блокировку инструментов разработки фишинговых сайтов.