В период с июля по сентябрь участники Антифишинговой рабочей группы (APWG) выявили 266 387 сайтов-ловушек — значительно больше, чем во II квартале. Столь высокую активность фишеров эксперты последний раз наблюдали в конце 2016 года. В минувшем квартале APWG также получила 122 359 отчетов о фишинговых рассылках — против прежних 112 163.

Количество торговых марок, заимствуемых при создании фишинговых сайтов, тоже возросло. Исследователи из MarkMonitor, регулярно принимающие участие в составлении квартальных отчетов APWG, в среднем ежемесячно фиксировали более 400 атакуемых брендов, тогда как в предыдущем квартале этот показатель составлял 313.

Основные мишени фишеров остались прежними — веб-почта и SaaS (ПО как услуга, совокупно 33% инцидентов); сбор учетных данных к таким сервисам значительно облегчает реализацию BEC-схем. На системы приема платежей в отчетный период пришлось 21% фишинговых атак, на финансовые институты — 19%.

По данным компании Agari, еще одного активного участника APWG, в 40% случаев BEC-мошенники отправляли поддельные письма с аккаунта, привязанного к специально зарегистрированному доменному имени, созвучному названию известной компании. Бесплатные почтовые ящики использовались с этой целью в 54% BEC-атак.

В Agari идентифицируют одну группировку такого профиля — ей присвоено кодовое имя Silent Starling. По словам экспертов, она состоит из трех основных участников, которые обычно взламывают email-аккаунт поставщика, вендора или иного партнера намеченной жертвы и долго собирают информацию, копируя переписку.

Статистику по фишинговым доменам APWG обычно публикует на основании данных, собранных компанией RiskIQ. Согласно этому источнику, 65% поддельных страниц, обнаруженных в III квартале, пришлось на долю родовых доменов верхнего уровня .COM, .ORG, .NET и других давно существующих TLD-зон. Из региональных TLD по этому показателю лидируют .BR (Бразилия) и .GA (Габон), регистрация в котором бесплатна. Российский национальный домен занял в общем рейтинге 10 место, поделив его с .AU и .TOP.

По оценке PhishLabs, еще одного неизменного соавтора отчетов APWG, в настоящее время более двух третей (68%) фишинговых сайтов используют HTTPS — это самый высокий показатель за последние пять лет. В связи с этим исследователи напоминают, что значок замка в адресной строке браузера говорит лишь о защите соединений шифрованием и не гарантирует безвредность онлайн-ресурса.

Активность фишеров в Бразилии, которую исправно отслеживают в компании Axur, также продолжает расти; по словам экспертов, количество таких инцидентов в стране увеличилось более чем в два раза в сравнении с I кварталом. Эта тенденция особенно ярко выражена в почтовом веб-сервисе и SaaS. В то же время атаки мошенников в сфере электронной коммерции, участившиеся во II квартале, пошли на спад.

Категории: Аналитика, Главное, Мошенничество