Group-IB заблокировала в 2022 году более 59 000 фишинговых сайтов, из них более 7 000 — в российском сегменте интернета, что в два раза больше, чем годом ранее. Мошеннические ресурсы похищали у пользователей из России логины и пароли, данные банковских карт, аккаунты в мессенджерах. Так, в прошлому году прошла волна атак с помощью фишинговых ресурсов на пользователей Telegram.
Если в 2021 году количество заблокированных ресурсов Центром реагирования на инциденты информационной безопасности Group-IB — СERT-GIB (24/7) в сети Интернет составило 31 455, то в 2022 году их число увеличилось до 59 282. Страницы киберпреступников в том числе копировали ресурсы популярных у российских пользователей брендов, сервисов, игр. В зонах .ru и .рф. количество заблокированных сайтов выросло более чем вдвое с 3 210 до 7 121.
В целом специалисты круглосуточного СERT-GIB выявили за прошлый год только в зонах .ru и .рф. 20 170 фишинговых доменов, а в 2021 году их число составляло 15 363 домена.
Чаще всего мошенники маскировали фишинговые ресурсы под социальные сети, банки, почтовые сервисы. Злоумышленники пользовались услугами хостинг-провайдеров, расположенных в основном в США, России и Германии. Каждый третий сайт мошенников был размещен в доменной зоне .com — 33,8% от общего числа ресурсов.
Фишинговые страницы применялись в схеме по краже учетных записей пользователей в Telegram в декабре 2022 года. Жертвы получали сообщение с просьбой поддержать крестницу или племянницу отправителя в детском конкурсе рисунков, проголосовать за «автора» сообщения в какой-либо онлайн-викторине, получить подарок в виде премиум-подписки в мессенджере. Ссылка в сообщении вела на фишинговый ресурс. Послания рассылались по адресным книгам взломанных аккаунтов в мессенджере и чатам, где состояли их владельцы. С новыми украденными аккаунтами схема повторялась: по их спискам контактов злоумышленники рассылали сообщения со ссылками на фишинговые ресурсы. В 2023 году злоумышленники для кражи аккаунтов в Telegram также используют сценарий с сообщением от службы поддержки мессенджера об ограничении учетной записи пользователя.
«Фишинг остается наиболее распространенной угрозой в интернете, ее масштабы продолжают расти, — отмечает Иван Лебедев, руководитель группы по защите от фишинга СERT-GIB. — Подобные сайты составляют 98-99% заблокированных ресурсов киберпреступников. В первую очередь это ресурсы, которые играют роль одного их основных элементов популярной схемы «Мамонт» (FakeCourier) и её версий, где у жертвы под предлогом фейковой покупки, доставки, аренды или свидания похищают деньги и данные банковских карт».
Специалисты Group-IB напоминают основные правила, которые важно соблюдать, чтобы не стать жертвой фишинга:
- В связи с появлением большого количества фейков и фишинговых ресурсов, нацеленных на известные бренды, клиентам стоит быть особенно бдительными, даже загружая приложения из официальных магазинов.
- Следует проверять доменные имена подозрительных сайтов. Чаще всего злоумышленники используют созвучные популярным брендам домены. Старайтесь использовать официальные приложения.
- При онлайн-покупках всегда проверяйте все реквизиты переводов и платежей. Никому не сообщайте коды из СМС и пуш-уведомлений, данные карты (ПИН и CVV-коды), персональные данные.
- Никогда не переходите по подозрительным ссылкам от неизвестных отправителей, мошенники могут заразить ваш компьютер или телефон и украсть ваши данные.
- Можно доверять ссылкам, которые указаны в верифицированных аккаунтах компаний в социальных сетях и мессенджерах.