В IV квартале прошлого года в базу данных Антифишинговой рабочей группы (APWG) было занесено 180 577 записей о фишинговых сайтах — на 10 365 меньше, чем в третьем квартале, который тоже оказался неурожайным. Уменьшилось также количество отчетов об атаках фишеров (email-рассылках): в октябре, ноябре и декабре APWG совокупно получила 233 613 уникальных сигналов, тогда как в предыдущий отчетный период — 296 208.

Число атакуемых брендов за три месяца сократилось с 348 до 268. Такой спад фишинговой активности в сезон праздничных распродаж в APWG наблюдают впервые: злоумышленники обычно используют любой шанс, сулящий удачную охоту на банковские реквизиты.

Тем не менее, в новом рейтинге атакуемых мишеней доли электронных платежей и онлайн-банкинга остались прежними — 42 и 15% соответственно. На SaaS-сервис (ПО как услуга) и бесплатную почту в четвертом квартале совокупно пришлось 16% атак фишеров, на облачные хранилища и файлообменники — 11%.

В отчетный период активисты продолжали наблюдать рост количества сайтов-ловушек, использующих HTTPS, и убеждены, что этот тренд сохранится и впредь. Так, в конце 2016 года на долю сайтов с SSL-сертификатами приходилось, по данным APWG, менее 5% фишинговых имитаций, а к четвертому кварталу 2017-го этот показатель возрос более чем в шесть раз.

По мнению авторов отчета, расширению использования HTTPS в фишинге способствуют несколько факторов. Во-первых, для размещения поддельных страниц фишеры зачастую используют скомпрометированные сайты, и в условиях массовой миграции на HTTPS это находит соответствующее отражение в статистике APWG. Так, по данным НКО Let’s Encrypt, на которые ссылаются борцы с фишингом, в конце прошлого года HTTPS использовали две трети сайтов, загружаемых через Firefox, — против 45% годом ранее.

Во-вторых, далеко не все пользователи осознают, что значок замка на зеленом фоне в адресной строке браузера говорит лишь о защите соединений шифрованием, а отнюдь не о легитимности или надежности сайта. По этой причине домены, специально регистрируемые фишерами, тоже все чаще используют HTTPS; введенный в заблуждение посетитель охотнее оставит свои данные на такой площадке.

В ноябре эксперты PhishLabs, регулярно принимающие участие в составлении отчетов APWG, провели пробный опрос пользователей на предмет восприятия сигналов, ассоциируемых с HTTPS-сайтами. Как оказалось, более 80% респондентов до сих пор уверены, что замок на зеленом фоне является гарантией чистоты ресурса.

Наконец, дополнительную путаницу вносят браузеры, и это тоже на руку фишерам. Chrome, например, помечает сайты с SSL-сертификатами как Secure — «безопасный», что можно прочесть и как «надежный».

В заключительном разделе нового отчета приведена статистика по фишингу и прочему мошенничеству в Бразилии, ее регулярно представляет другой участник APWG — компания Axur. В четвертом квартале эксперты зафиксировали в этой стране 16,5 тыс. киберинцидентов, в том числе первые атаки фишеров на криптообменники Bitcoin, а также вредоносные рассылки с целью привлечения посетителей на сайты с предустановленным майнером Monero. По оценке Axur, за квартал число фишинговых атак в Бразилии возросло на 379%, мошеннических сайтов — на 245%, мошеннических рассылок в социальных сетях — на 247%.

Исследователи подчеркивают, что кибератаки, проводимые на территории этой страны, нацелены исключительно на местное население. Фишеры даже используют специальные фильтры, чтобы отсеивать нежелательных визитеров на своих сайтах; в отчетный период такая IP-фильтрация была замечена в 38% случаев. Дело в том, что созданные для бразильцев сайты-ловушки размещаются в основном за рубежом, и для их блокировки интернет-провайдер или хостер должен иметь веские основания. Свидетельства противоправной деятельности можно получить, зайдя на сайт и воочию увидев мошенническую схему в действии.

Среди новых находок Axur 10 496 хостились в США, 2652 — в Ирландии, 1769 — в самой Бразилии; наибольшее количество мошеннических схем пришлось на Facebook. В некоторых случаях злоумышленники блокировали также IP-адреса целевой компании (банка), чтобы ее ИБ-служба не обнаружила существование поддельных страниц.

Категории: Аналитика, Главное, Мошенничество, Спам