Как сообщают «Известия», центр реагирования на компьютерные инциденты Ru-Cert работает над системой автоматического поиска фишинговых сайтов в зонах .ru и .рф. При выявлении сайта, специально созданного для фишинга, система должна будет разделегировать домен. Таким образом в Ru-Cert хотят превентивно блокировать фишинговые страницы, не дожидаясь, пока от действий мошенников пострадают пользователи.

По словам представителя организации Дмитрия Ипполитова, фишинговые страницы либо появляются в результате взлома сайта, либо размещаются на сайте, специально созданном для атаки. В первом случае Ru-Cert предлагает напрямую сообщать о фишинге владельцу сайта или хостеру, чтобы они произвели очистку. Но если доменное имя отличается от названия известного банка одной буквой, это вряд ли просто совпадение. Если есть очевидные признаки того, что сайт специально создан для фишинга, он сразу будет разделегирован.

В «Правилах регистрации доменных имен в зоне .ru и .рф» указано, что делегирование домена может быть прекращено на основании письменного решения руководителя управления «К» МВД или Генпрокуратуры, направленного в адрес регистратора доменного имени. Роскомнадзор блокирует сайты с запрещенным контентом, но фишинг таковым не считается. Эксперты считают, что в России существующее законодательство не предусматривает блокировку фишинговых сайтов, и этим вынуждены заниматься частные организации.

Негосударственная блокировка вредоносных ресурсов осуществляется по соглашению, заключенному между представителями ИБ-отрасли (в том числе «Лаборатории Касперского», Group-IB, РОЦИТ, Ru-Cert и «Лиги безопасного Интернета») и Координационным центром национального домена сети Интернет. Согласно пункту 5.7 правил, регистратор вправе разделегировать вредоносный домен при получении «мотивированного обращения компетентной организации», зафиксировавшей факт использования домена для фишинга, распространения вирусов или материалов с детской порнографией.

Принятие решения о централизованной системе блокировки фишинговых сайтов — хорошая новость, так как каждый год количество фишинговых сайтов, по данным «Лаборатории Касперского», достигает миллионов страниц. Согласно отчету «Лаборатории», в 2015 году на компьютерах пользователей продуктов «Лаборатории Касперского» было предотвращено 148,4 тыс. попыток перехода на фишинговые страницы (в России — 26,4 тыс.).

РОЦИТ сообщает, что 91% опрошенных пользователей сталкивались с фишинговыми атаками через электронную почту (42%), SMS (29%) и в мессенджерах (20%). В «Лаборатории Касперского» утверждают, что в 2014 году россияне чаще всего подвергались фишинговым атакам (17,28% от общего числа атак в глобальном масштабе).

Разрабатывать подобную «антифишинговую» систему с нуля — дорогостоящее занятие, подвластное только крупным игрокам. Но если использовать существующую поисковую систему (например, «Яндекс»), останется только научить систему отличать фишинговые сайты от остальных, используя для этого большой массив аналитических данных (которым, очевидно, располагает Ru-Cert).

Категории: Кибероборона, Мошенничество