По наблюдениям Антифишинговой рабочей группы (APWG), после весеннего всплеска активность фишеров снизилась и стабилизировалась. В период с июля по сентябрь участники некоммерческого альянса зарегистрировали немногим более 151 тыс. поддельных сайтов — заметно меньше, чем во II (233 тыс.) и I квартале (263,5 тыс.). Количество уникальных фишинговых рассылок осталось почти на том же уровне — 270,6 тыс.

Из новых трендов борцы с фишингом особо отметили рост количества редиректоров, с помощью которых злоумышленники пытаются продлить жизнь сайтов-ловушек. Примечательно, что перенаправление осуществляется не только на пути к фишинговой странице, но также после кражи данных, введенных в фальшивую форму.

Наибольшее количество атакуемых брендов было зафиксировано в сентябре — 286. Основное внимание фишеры по-прежнему уделяли платежным сервисам (38,2% атак), SaaS и веб-почте (совокупно 20,1%), а также банкам (15,7%). Доля облачных хранилищ и файлообменников в рейтинге мишеней в III квартале продолжала снижаться и в итоге составила лишь 6,5%.

В новый отчет APWG включены данные по злоупотреблениям в TLD-доменах, предоставленные ее участником RiskIQ. Согласно статистике компании, злоумышленники предпочитают использовать обширные TLD-зоны — вроде .COM, .ORG и .INFO, на которые в отчетный период суммарно пришлось 59,4% фишинговых доменов. Однако исследователи также отметили растущий интерес фишеров к новым родовым TLD-доменам (особенно .XYZ и .TOP) и региональным доменам, сменившим оператора и профиль.

Так, например, домен государства Палау — .PW — был несколько раз переделегирован; в результате зарегистрировать сайт в этой зоне теперь может любой желающий, и количество злоупотреблений в ней заметно выросло. Такая же участь постигла национальные домены .TK, .ML, .GA, .CF и .GQ, оператором которых ныне является голландская компания Freenom; регистрация в них бесплатна.

Еще один член APWG, компания PhishLabs, некоторое время назад взялась отслеживать, в какой пропорции мошенники используют HTTP и HTTPS. По ее данным, доля фишинговых сайтов с шифрованным трафиком неуклонно растет и в III квартале составила 49,4%.

С одной стороны, это отражает общую тенденцию к переходу на HTTPS — как известно, фишеры зачастую используют скомпрометированные сайты. С другой стороны, значок замка в адресной строке браузера способен ввести в заблуждение посетителя поддельного сайта. К сожалению, многие пользователи не осознают, что это обозначение — лишь свидетельство защиты соединений, и безвредность контента оно гарантировать не может.

Категории: Аналитика, Главное, Мошенничество, Спам