Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Интервью с экспертом: «Как бороться с фишингом в сфере онлайн-коммерции»

Руслан Кривулин, глава компании BrandSecurity, в интервью порталу «Безопасность пользователей сети Интернет» (www.safe-surf.ru) рассказал о проблеме фишинговых сайтов в Рунете и о том, как ведется с ними борьба с привлечением бизнес-сообщества и компетентных организаций.

Krivulin.jpg

Руслан Кривулин, глава компании BrandSecurity

Фишинг и социнженерия остаются доминирующим способом онлайн-мошенничества. Если рекомендаций по безопасной работе с почтой написано много, то с веб-сайтами дела обстоят хуже. Какими приемами пользуются онлайн-мошенники, чтобы ввести в заблуждение пользователя и как отличить настоящий сайт компании-поставщика от поддельного?

Для того, чтобы привлечь аудиторию на фишинговые сайты и обмануть как можно большее количество пользователей, мошенники используют совершенно разные приемы – от размещения объявлений о продаже последних моделей игровых приставок и гаджетов по заниженным ценам на популярных интернет-сервисах по размещению бесплатных объявлений до продвижения фишинговых сайтов через контекстную рекламу и предложения значительных скидок на товары или услуги под видом известного бренда либо онлайн-сервиса.

При этом визуально фишинговые сайты могут на 100% копировать официальные страницы бренда. Различить их становится все сложнее даже подготовленному пользователю. В последнее время злоумышленники используют различные безобидные на первый взгляд сервисы по созданию онлайн-опросов, где пользователю под видом официальной акции от известного бренда предлагается ответить на 5-10 вопросов, естественно указав свои ФИО, почту и другие контактные данные. В конце данной «викторины» с пользователем могут связаться по телефону либо электронной почте и уже целенаправленно начать выманивать деньги под разными предлогами (инвестиции в ценные бумаги и тому подобное).

Достаточно ли для проверки благонадежности сайта внимательно прочитать адресную строку и убедиться, что в домене нет ошибок или подмены символов, например, буквы «О» на цифру «0»? Ведь в электронной почте есть возможность подменить адрес отправителя на адрес доверенного лица (спуффинг), чтобы пользователь доверился такому письму. Причем подменяются любые адреса, включая государственные ведомства и сервисы.

Зачастую бывает достаточно проверить адресную строку, чтобы вовремя принять решение об уходе с фишинговой страницы. Но, учитывая некоторую многоступенчатость действующих сегодня мошеннических схем, я бы рекомендовал на каждом этапе взаимодействия с сайтом поглядывать на адресную строку, особенно на стадии оплаты и ввода своих платежных реквизитов.

Приведу пример многоступенчатой атаки. На сайте с бесплатными объявлениями размещаются безобидные с виду объявления о продаже новой техники со скидкой и возможностью забрать товар прямо в магазине. В личных сообщениях покупателю все это позиционируется как «корпоративная скидка только для сотрудников». Далее предлагается выбрать товар, и здесь уже на почту или в мессенджер покупателю присылается персонализированная фишинговая ссылка, которая будет работать только у него.

Если же взять расхожую схему мошенничества с авиабилетами, то иногда злоумышленники позиционируют себя как туристические агентства, а далее фейковый «менеджер» в ходе общения с потенциальной жертвой направляет ей ссылку на фишинговый сайт или на форму оплаты. Получается, что на начальном этапе взаимодействия человек не подозревает, что на него готовится атака, поскольку уверен в том, что взаимодействует либо с представителем бренда, либо с менеджером агентства. Поэтому и уровень осторожности у него снижен.

Кроме этого, мы всегда советуем проверять подозрительный ресурс через whois-сервисы. Большинство фишинговых сайтов «живут» не дольше одной недели, поэтому свежая дата регистрации домена «официальной страницы» крупного онлайн-ритейлера или компании по продаже авиабилетов наводит на подозрение о том, что пользователь находится на фишинговом ресурсе.

Мошенники часто ловят пользователей на скидки и ограниченные по времени акции, при этом адаптируя схемы в зависимости от сезонности спроса. Летом – это дешевые авиабилеты или отели, зимой и в канун новогодних праздников – скидки и акции на бытовую технику.

Пользователь может получить персональную фишинговую ссылку в момент общения с фейковой «службой поддержки» либо в переписке с продавцом на сайте объявлений. Известны случаи, когда мошенники обманывают одних и тех же пользователей дважды – сначала при попытке приобрести авиабилеты со скидками (через фишинговый сайт), а потом еще и при попытке сделать возврат (потому что якобы «не прошла оплата», случился «технический сбой у авиакомпании» и так далее).

Какова статистика по фишинговым сайтам в Рунете с начала пандемии, когда люди стали еще активнее пользоваться интернет-сервисами? Синхронизируется ли она с общемировыми трендами? И каковы ваши успехи по выявлению таких фальшивок?

На примере отрасли авиаперелётов за 2019 год мы выявили 208 фишинговых и мошеннических ресурсов. За 2020 год было обнаружено свыше 250 таких ресурсов, причем эксперты полагают, что этот незначительный рост связан это с закрытием границ и авиасообщения из-за пандемии.

С начала пандемии, а именно с весны 2020-го года (то есть уже на протяжении полутора лет) мы наблюдаем кратный рост от месяца к месяцу количества выявляемых фишинговых сайтов в русскоязычном сегменте сети  Интернет.

Учитывая специфику деятельности нашей компании, мы отслеживаем фишинг лишь по тем брендам или сервисам, которые являются нашими клиентами. Но поскольку многие из них являются лидерами в своих отраслях, мошенники атакуют их чаще всего, создавая целые сервисы и партнерские программы для увеличения своих доходов. Таким образом, в мошеннической схеме может одновременно участвовать огромное количество человек, что прямо отражается на количестве регистрируемых и выявляемых нами доменных имен, обладающих признаками фишинга.

Что касается общего количества, то за первое полугодие 2021 года у клиентов BrandSecurity в сфере авиасообщения, питания и доставки, а также компаний сегмента электронной коммерции было выявлено более 3500 фишинговых и мошеннических ресурсов.

Возможно, у вас есть какие-то данные по самым популярным брендам у онлайн-мошенников. Как вы взаимодействуете с их официальными владельцами в рамках борьбы с фишингом?

Не все наши клиенты готовы публично делиться статистикой и заявлять о существующей проблеме фишинга. Скажу лишь, что среди компаний, являющихся лидерами в онлайн-коммерции (бытовая техника, парфюмерия, доставка пиццы, поиск и продажа авиабилетов, сервисы экспресс-доставки, компании из банковского сегмента), практически каждая из них в той или иной степени уже либо сталкивалась, либо в настоящее время борется с данной проблемой.

Из публичных кейсов – BrandSecurity совместно с Aviasales развивает специальный сервис Настоящийбилет.рф, где ведется база легальных и мошеннических сайтов по поиску и продаже авиабилетов. По статистике сервиса, в сезон отпусков наблюдается кратный рост числа мошеннических сайтов. Также недавно основатель «Додо Пицца» Федор Овчинников поделился своими данными по выявленным и заблокированным фишинговым сайтам, имитировавших сеть его пиццерий. Как партнер «Додо Пиццы», мы активно участвуем в этой работе и на ежедневной основе выявляем и блокируем появляющиеся «подделки».

Каким образом сейчас выстроено ваше взаимодействие с регуляторами Интернета и компетентными организациями, отвечающими за противодействие компьютерным инцидентам?

Нам часто приходится обращаться за помощью к различным компетентным организациям, отвечающим за противодействие компьютерным инцидентам. Причем не только в России, но и за ее пределами. Благодаря взаимодействию с сотрудниками Национального координационного центра по компьютерным инцидентам (НКЦКИ) нам удалось добиться уменьшения времени реагирования на выявляемые фишинговые или мошеннические ресурсы.

Также НКЦКИ оказывает большую помощь в разрешениии вопросов, связанных с bullet-proof (абузоустойчивыми) регистраторами. В случае, если ресурс не получается заблокировать на территории Российской Федерации, совместно с НКЦКИ налажен механизм по добавлению их в антивирусные базы и различные «чёрные списки». Дополнительно сотрудники ведомства регулярно присылают бюллетени о новых видах угроз в сети, на основании которых можно скорректировать вектор поиска и обнаружения вредоносных ресурсов. Коллеги из Центра всегда оперативно реагируют на наши запросы, делятся с нами полезной информацией об уязвимостях, за что им, конечно, большое спасибо.

Для борьбы с онлайн-мошенничеством судебная система кажется слишком медлительной. Что происходит с досудебными блокировками ресурсов, разделегированием доменов, замеченных в противоправной деятельности? И не было ли попыток с их стороны оспорить по суду досудебные решения?

Лично мне на сегодняшний день неизвестны случаи, когда владельцы доменов, разделегированных в рамках существующего механизма взаимодействия между компетентными организациями и регистраторами доменных имен, обращались в судебные органы для оспаривания данных решений. Думаю, это связано с тем, что сам факт направления запроса на разделегирование домена от имени компетентной организации — это абсолютно аргументированное решение, основанное на реальных фактах противоправной деятельности и экспертной оценке.

Сегодня уже более-менее понятен механизм досудебных блокировок доменов, созданных в целях фишинга, несанкционированного доступа к информационным системам либо распространения вредоносных программ. Время реагирования c момента направления запроса в НКЦКИ до блокировки (разделегирования) домена составляет один-два рабочих дня (для регистраторов, работающих в Российской Федерации). Но, с другой стороны, этих 48 часов злоумышленникам бывает достаточно, чтобы привлечь на свои площадки сотни пользователей, а обмануть – десятки человек. Безусловно, нужно совместно со всеми заинтересованными участниками (начиная от представителя бренда и заканчивая регистраторами и компетентными организациями) прорабатывать механизмы, которые позволят упростить процессы блокировки фишинговых и мошеннических сайтов и уменьшить время реагирования до нескольких часов.

Отдельная тема – это, наверное, взаимодействие с поисковиками, администрациями социальных сетей и онлайн-платформ, которые обычно выступают с позиции «мы предоставляем техническую возможность, а за контент не отвечаем». В Facebook, например, процветает мошенническая реклама. Как вы с ними работаете, какие здесь проблемы и пути решения?

Если говорить про фишинг именно с целью совершения мошеннических действий, то позиция практически всех популярных сервисов, соцсетей, досок объявлений и поисковиков одинакова. Они резко против наличия подобной активности у себя и стараются этому всячески противодействовать. Конечно, злоумышленники уже научились обходить фильтры и активно продвигают мошеннические аккаунты и фишинговые сайты как в рекламе на Facebook или Instagram, так и в контекстной рекламе. Причем последнее в больше степени актуально именно для Google AdWords.

Нам пока не очень понятна позиция поисковика Google – по каким-то причинам достучаться до них и оперативно убрать из рекламы фишинговый сайт получается далеко не всегда. Причем эту проблему отмечаем не только мы, но и сами бренды, когда встречают в платных рекламных объявлениях ссылку на фишинговый сайт, которая располагается на странице выдачи результатов поиска даже выше, чем ссылка на официальный ресурс. А значит, она соберет и больше пользовательских кликов.

Иногда быстрее заблокировать фишинговый сайт через регистратора, чем дождаться реакции Google на рекламу. При этом у Google существует замечательный инструмент DMCA (аббревиатура Digital Millennium Copyright Act — Закон об авторском праве в цифровую эпоху), через который, к примеру, можно убрать из поисковой выдачи сайт, реализующий контрафактную продукцию или пиратский ресурс. Но с рекламой механизм устроен иначе, и мы в данный момент обсуждаем с некоторыми игроками рынка варианты решения этой проблемы.

Обрисуйте пожалуйста вкратце портрет нарушителя - онлайн-пирата. Кто они такие, на чем пытаются заработать? Ведь потребитель стал у нас более разборчивым, и контрафакт в целом вытесняется лицензионными продуктами.

Мне кажется, что за последние пару лет в онлайн пришло много технически подкованных мошенников, готовых инвестировать и в разработку, и в инфраструктуру. Мы сталкиваемся уже не с рядовыми продавцами поддельных сумок либо обуви известных брендов, а целыми группировками, занимающимися так называемым scam-as-a-service. К примеру, существует целая партнерская программа по скам-проектам, которая обещает своим партнерам готовые лендинги под популярные и актуальные мошеннические офферы, собственное платежное решение, админскую консоль и многое другое.

Судя по цифрам, которые нам удалось найти, доходы мошенников от деятельности, связанной с созданием и продвижением фишинговых сайтов под ведущие российские проекты в сфере электронной коммерции, исчисляются десятками и сотнями миллионов рублей. При этом ежедневно нам продолжают встречаться мошенники, предлагающие купить подделки известных брендов в соцсетях, либо занимающиеся «сливом» различных онлайн-курсов. Но это уже совсем другая категория мошенников, часто не имеющая какого-то «управляющего центра». По сути, это единичные игроки, хотя бывает, что встречаются и достаточно крупные группы.

Есть ли у вас идеи, что нужно поменять системно, чтобы искоренить или хотя бы существенно снизить проблему фишинга и социальной инженерии, которая несмотря на принимаемые меры продолжает быть угрозой «номер один» для интернет-пользователей?

В первую очередь, о проблеме фишинга нужно говорить и не замалчивать факты использования брендов мошенниками. И говорить об этом должны начать сами компании – владельцы известных брендов. Таким образом они предостерегут пользователей от возможных рисков и поддержат свою репутацию, поскольку наличие большого количества «обманок» в Сети вредит прежде всего их собственному имиджу.

Кроме того, я считаю необходимым объединять усилия для выстраивания диалога с поисковиками, социальными сетями и прочими популярными у населения Интернет-площадками. Ведь, как мы видим, Интернет-поисковики (через контекстную рекламу) и социальные сети пока являются основными каналами привлечения аудитории на фишинговые страницы. Если нам удастся перекрыть данные каналы, то жертв фишинга станет в разы меньше.

Ну и безусловно правоохранительным органам нужно активнее отслеживать крупные группы мошенников и предпринимать усилия по идентификации и поимке злоумышленников.