По данным Антифишинговой рабочей группы (APWG), наметившаяся в прошлом году тенденция к сокращению числа поддельных сайтов сохранилась до конца декабря. В IV квартале эксперты занесли в базу немногим более 138 тыс. ловушек злоумышленников — против 151 тыс. в III квартале и 233 тыс. во II-м. Количество уникальных отчетов об атаках фишеров (email-рассылках) в период с октября по декабрь тоже уменьшилось и составило около 240 тыс.

Чтобы продлить жизнь своим фальшивкам, мошенники по-прежнему широко использовали цепочки редиректов, как на пути к фишинговой странице, так и по завершении кражи данных.

Наибольшее количество фишинговых атак в отчетный период пришлось на платежные системы и службы — 33,0%. Исследователи также отметили рост внимания злоумышленников к SaaS-сервису (ПО как услуга) и веб-почте. За квартал доля объединенной категории увеличилась с 20,1 до 29,8%. Третье место в списке мишеней заняли финансовые институты (14,3%).

Рейтинг TLD-доменов, используемых для фишинга, вновь возглавила обширная зона .COM, на которую пришлось около трети вредоносных находок. Исследователи также отметили повышенную активность фишеров в некоторых новых родовых TLD (появившихся после 2011 года, таких как .ONLINE и .XYZ) и перепрофилированных региональных доменах — вроде .PW.

TLD-домен .PW изначально принадлежал государству Палау, но потом был несколько раз переделегирован. В настоящее время его оператором является индийская компания, и зарегистрировать сайт у нее может любой желающий. В результате количество злоупотреблений в зоне .PW заметно выросло; в настоящее время она занимает по этому показателю второе место (после .COM).

Замыкает ведущую пятерку британский домен .UK, который в IV квартале опередил остальные региональные TLD по количеству ловушек фишеров. Из интернационализированных доменных имен в выборке, по которой проводился анализ, оказалось лишь одно — .рф.

Лидером по количеству поддоменов, используемых фишерами, в настоящее время является домен второго уровня 000WEBHOSTAPP.COM. Им владеет кипрская частная компания Hostinger International, которая предоставляет подписчикам удобную панель для создания бесплатного хостинг-аккаунта с мгновенной активацией, что открывает широкие возможности для злоупотреблений. По данным APWG, в отчетный период фишеры использовали более 90 поддоменов 000WEBHOSTAPP.COM для размещения сайтов, имитирующих как минимум 14 разных брендов.

Примечательно, что к концу года число сайтов-ловушек, использующих шифрованные соединения (HTTPS), сократилось — впервые за все годы наблюдений, как отметили исследователи. «Доля фишинговых сайтов, использующих SSL, в IV квартале несколько уменьшилась по сравнению с III кварталом — на 3%, и составила около 47%, — цитируют авторы отчета Джона Лакура (John LaCour), технического директора PhishLabs. — Тем не менее, факт остается фактом: почти половина фишинговых сайтов используют цифровые сертификаты, чтобы придать атакам более легитимный вид и обойти предупреждения в браузере».

По словам экспертов, в декабре HTTPS по умолчанию использовали 48,4% сайтов в Интернете. Фишеры зачастую размещают свои страницы на скомпрометированных ресурсах, поэтому неудивительно, что пропорция в данном случае примерно одинакова.

Категории: Аналитика, Главное, Мошенничество