Несмотря на то, что системы ИБ уже давно умеют автоматически обнаруживать и закрывать фишинговые площадки, а практически все пользователи не раз слышали об обманных сайтах, выманивающих учетные данные, масштабы этого вида мошенничества остаются впечатляющими.

В 2016 году эксперты «Лаборатории Касперского» зафиксировали почти 155 миллионов срабатываний антифишинговых систем, из которых почти половина пришлась на пользователей финансовых приложений. Ситуация усугубляется тем, что сейчас запустить фишинговую кампанию может практически любой, даже начинающий хакер. В результате каждый год только в США организации и частные лица теряют до 500 миллионов долларов.

Одна из причин массового характера нецелевого фишинга — в относительной простоте: часто злоумышленники даже не создают поддельный сайт, чтобы украсть учетные данные, а используют готовые пакеты, или фишинг-паки, — zip-архивы с клонами легитимных страниц и встроенными скриптами, которые отправляют введенную в формы информацию злоумышленникам или записывают в txt-файл. Преступники размещают содержимое архива на хостинговых платформах (адреса скомпрометированных сайтов несложно найти в Интернете) и распространяют ссылки через спам. Когда созданные таким образом страницы блокируют, злоумышленники часто даже не удаляют их, оставляя пакеты на серверах.

Аналитики компании Duo Security проверили 66 тысяч фишинговых ссылок и собрали такие «забытые» фишинг-паки, изучили их и опубликовали отчет. Всего было найдено 7,8 тысяч наборов, из которых уникальными оказалось всего 3,2 тысячи (авторы подчеркивают, что механизм учета архивов считал два пака с различием даже в одном файле как разные). Иными словами, большинство наборов для фишинга используются неоднократно на разных скомпрометированных серверах.

Аналитики отмечают, что многие архивы содержали бэкдор-скрипты, которые скрытно перенаправляли пользовательские данные, похищенные купившим такой пакет злоумышленником, еще и автору-разработчику пакета, а иногда позволяли перехватить управление чужой фишинговой площадкой. Очевидно, преступники не гнушаются зарабатывать за счет менее подкованных коллег.

Особое внимание аналитики уделили электронным адресам, по которым уходила украденная информация: они позволяют выстроить логические цепочки, определить акторов (непосредственных пользователей фишинг-паков), управляющих одновременно несколькими кампаниями. Этой же цели служит анализ поля «От кого» в zip-архивах — исследователи отмечают, что это своеобразная визитная карточка «черных» разработчиков, которая помогает связать между собой множество различных паков. Выяснилось, что 76% электронных адресов связаны всего с одним пакетом, а оставшиеся 24% получали данные сразу от нескольких. Самый популярный адрес был обнаружен в 115 уникальных паках.

Анализ площадок, на которых злоумышленники располагают фишинговые страницы, показал, что 3 из 10 скомпрометированных сайтов размещены на WordPress. Впрочем, это не выводит из-под угрозы другие платформы — авторы подчеркивают, что преступники постоянно ищут CMS с устаревшими системами безопасности.

Важная деталь — 16% фишинговых страниц были найдены на HTTPS-сайтах. Это не говорит об уязвимости самого протокола, но служит предупреждением пользователям: «замок» в адресной строке браузера не гарантирует 100%-ную безопасность.

Главной мерой защиты по-прежнему остается осторожность: чтобы избежать фишинга, нужно внимательно проверять все ссылки и корректные адреса сайтов перед вводом данных в любую онлайн-форму. Организациям, которые хотят защитить свои сайты от клонирования, авторы исследования рекомендуют внедрить систему многофакторной аутентификации — это обеспечит сохранность данных клиентов и сделает сайт неинтересным для злоумышленников.

Категории: Аналитика, Кибероборона, Уязвимости