«Кросс технолоджис»: мошенники отказываются от имен брендов в названиях доменов ради скрытности
Аналитики Smart Business Alert (SBA) компании «ЕСА Про» (входит в ГК «Кросс технолоджис») фиксируют тренд в фишинге: злоумышленники начали отказываться использования имен брендов в названиях доменов, чтобы усложнить автоматическое выявление по простым маскам. Об этом CNews сообщил представитель в ГК «Кросс технолоджис».
Традиционно фишинговые домены состоят из названия бренда или организации и ключевых слов. Таким образом, мошенники, с одной стороны, делают адреса более убедительным, а с другой стороны, становятся достаточно простой мишенью для обнаружения OSINT-специалистами и DRP-решениями.
По данным, которые изучили специалисты SBA, количество «небрендовых» фишинговых доменов для популярных среди мошенников компаний – банков, магазинов, мессенджеров и т.д. – достигает 20%. При этом для сохранения естественного SEO-продвижения злоумышленники размещают имена брендов в содержимом страницы, изображениях, favicon, ссылках, title, текстах кнопок, формах входа или сценарии переадресации.
«Мошенники используют различные схемы, чтобы избегать блокировок доменов. Например, переводят пользователей в мессенджеры, в том числе чтобы получить доступ к экрану телефона якобы для помощи в настройке программ, при этом видят, какие банковские приложения установлены, и даже могут попросить войти в одно из них, чтобы оценить финансовые возможности потенциальной жертвы. В таком случае саму фишинговую страницу труднее определить как вредоносную. Отказ от названий брендов в доменах – другой способ продлить жизнь фишинга. Это позволяет оптимизировать расходы, хотя, конечно, от части снижает правдоподобность ресурсов – странный адрес в первую очередь бросается в глаза пользователю. Но несмотря на то, что такие домены выглядят менее убедительно, общий уровень эффективности компенсируется за счет массовости и скорости запуска», – сказал Сергей Трухачев, руководитель сервиса SBA.
Специалисты также фиксируют другой тренд в использовании мошеннических доменов – размещение нескольких несвязанных между собой фишинговых страниц на одном домене второго уровня. При этом, подчеркивают аналитики, имена доменов могут полностью не совпадать с тематикой фишинговой страницы, что также затрудняет выявление по ключевым словам и снижает эффективность традиционных методов фильтрации.
«Такая схема позволяет мошенникам быстрее и дешевле масштабировать атаки, но делает их более уязвимыми: при блокировке домена может перестать работать сразу несколько фишинговых страниц. При этом на практике злоумышленники компенсируют этот риск за счет быстрой смены доменов и размещения инфраструктуры через промежуточные сервисы. Поэтому такой подход сегодня используют не только начинающие группы, но и более опытные участники», – отметил Сергей Трухачев.
