Несколько дней назад основатель «Додо Пиццы» Фёдор Овчинников в своём посте в Facebook написал, что за этот год компания заблокировала 172 фишинговых ресурса. При этом количество сайтов-подделок все время растет. Если в июне их было 49, то в июле – уже 92. Спустя несколько дней об атаке мошенников написали в Facebook и представители TanukiFamily. MarketMedia поговорил с экспертами в сфере информационной безопасности, рестораторами и службами доставки, как часто они сталкиваются с фишинговыми сайтами и как можно бороться с нашествием мошенников.

Все пошли в онлайн
Бешеный интерес мошенников к созданию сайтов-подделок связан с коронавирусом и бурным ростом онлайн-торговли. Именно в период первой волны и локдауна, когда многие открыли для себя интернет-торговлю и рынок стал активно расти, количество фейковых сайтов резко выросло. Первым делом под удар попали онлайн-доски объявлений и сайты курьерских служб. Количество имитирующих эти ресурсы сайтов сразу увеличилось в десятки, а то и сотни раз. Потом очередь дошла до различных интернет-магазинов, служб доставки еды и ресторанов. Как рассказывает Сергей Трухачев, руководитель блока специальных сервисов Infosecurity, начиная с лета 2020 года он фиксирует стабильно высокий уровень фишинга в этих сферах, а рейтинг фишинга 2021 формируют банки, курьерские службы, рестораны, интернет-магазины, нефтегазовая отрасль.

По данным Positive Technologies, в 2020 году количество атак хакеров выросло на 153% по сравнению с 2019 годом.


В первом полугодии этого года компания Group-IB зафиксировала наибольшее количество фишинговых страниц, имитирующих онлайн-сервисы (25%), финансовые учреждения (23%) и социальные сети (23%). «Повышение активности мошенников напрямую связано с ростом спроса на услуги доставки. Число покупателей в сети растёт, и у неопытного пользователя больше шансов попасть в ловушку, – рассуждает Станислав Чегодаев, IT-директор службы доставки Boxberry, – Если человек впервые покупает через интернет и не знаком со схемой работы, его гораздо проще ввести в заблуждение. Этим и пользуются преступники».

В TanukiFamily признают, что в последние две недели мошенники активизировались - стали появляться сайты-клоны компании. В Delivery Club рассказали, что компания регулярно отслеживает появление сайтов-клонов, все найденные фишинговые сайти сайты блокируются, а на их закрытие в среднем уходит от нескольких часов до суток. В 2021 году сотрудниками ПЭК были выявлены порядка 12 фишинговых сайтов. Boxberry ведет систематическую борьбу с фишингом на протяжении нескольких лет. В среднем, каждые 10 дней компания выявляет 100-115 фишинговых доменов, около 200 подозрительных страниц выявляется в социальных сетях и на форумах. Удается добиться блокировки примерно 280 фишинговых сайтов в месяц. «Мы понимаем, что мошенничество в сети — это целая индустрия. Схемы очень быстро модернизируют», – делятся в Boxberry.

Не переходи по ссылке, не совершай ошибку
Как правило, хакеры, атакующие ретейл, преследуют две цели: прямую финансовую выгоду или получение доступа к клиентским данным, делают вывод в Positive Technologies. По сути, мошенники создают сайты-аналоги с похожими доменными именами. Чаще всего встречается схема, при которой мошенники имитируют доменные имена известных брендов. Так они могут получить данные банковских карт клиентов, которые думают, что делают заказ в проверенном и известном им интернет-магазине или сети пиццерий. Существуют также фишинговые сайты, имитирующие внесение оплаты за покупку или доставку. Схема работает так: на сайте объявлений создается обращение о продаже товара. Для привлечения покупателей мошенники устанавливают низкую цену. Заинтересованным в покупке направляется ссылка на фишинговый сайт для оплаты доставки. В итоге, и товар не доставлен, и продавец пропадает, рассказывает Алексей Персиянов, начальник служба безопасности ПЭК. Часто встречается схема с поддельными накладными. Мошенники могут отправлять покупателю скан поддельной накладной с предложением перевести оплату за товар, объясняют в СДЭК.

Почему мошенникам удается так легко обманывать своих жертв. Дело в том, что стоимость регистрации домена и покупки хостинга пренебрежительно мала, а значит основной статьей расходов злоумышленников является проведение обширных (массовых) рекламных кампаний на Google и в «Яндексе». Злоумышленники пользуются доступными инструментами онлайн-продвижения наряду с законопослушным бизнесом: они выкупают места в поисковой выдаче, используют контекстную и таргетированную рекламу. Многие пользователи привыкли просто переходить по первым ссылкам в браузере и часто даже не обращают внимание на значок «реклама» или явно не корректное написание доменного имени.

Такому ресурсу достаточно повисеть в верхней строке пару часов, чтобы отбить затраты на его создание и рекламу. За это время десятки человек могут передать данные своих карт злоумышленникам.


«Как правило, модераторы поисковиков фильтруют только очевидно недопустимый контент — взрослый контент, запрещенные вещества, пропаганда терроризма — и не следят за законностью используемого на сайте товарного знака, что позволяет преступникам продвигать фишинговые сайты через рекламные кабинеты», — поясняет Александр Калинин, руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT-GIB) Group-IB. Как объясняет Сергей Трухачев из Infosecurity, размещение контекстной рекламы помогает злоумышленникам привлекать как можно больше денежных средств потерпевших за счет гибкого распределения охвата аудитории потенциальных жертв и подбора ключевых слов, соответствующих запросам различных категорий интернет-пользователей. Одна-две жертвы полностью окупают и фишинговый ресурс и рекламную кампанию. Пока компания обнаружит сайт и отправит его на блокировку, реклама отработает и приведет потенциальных жертв. Для того, чтобы продлить жизнь своей рекламной кампании, преступники иногда прибегают к такой уловке: они покупают рекламное место для легитимного сайта, который затем перенаправляет пользователя на фишинговую страницу, приводят пример в Group-IB.

Несите жалобную книгу
Для борьбы с фишингом в арсенале бизнеса есть несколько инструментов. Во-первых, сначала необходимо пожаловаться в хостинговую компанию, которая зарегистрировала нежелательный домен. Потом можно обратиться к площадке, которая выдает результат поиска, то есть в Google или «Яндекс». «В нашем случае это американский поисковик. «Яндекс» быстро блокирует такую рекламу, которая нарушает авторские права. В Google есть лазейки, которые пропускают подобные домены, а контекстная реклама может выдавать фальшивый ресурс. Если же у нас появляются жалобы от клиентов на фишинговые сайты, то можно подавать в суд на мошенников», – рассказывает Станислав Колосков, руководитель отдела маркетинга TanukiFamily. Основанием для блокировки может стать как использование товарного знака, так и подтверждение фишинга, неправомерного сбора персональных данных, наличия вредоносного ПО. Как рассказывают в службе безопасности «Додо Пиццы», чаще всего реагирование на подобные обращения происходят оперативно, однако встречаются и более сложные случаи.

Еще один способ борьбы – обратиться в компании, которые отслеживают подозрительные сайты и блокируют их. С ними можно заключить контракт, и тогда они будут заниматься мониторингом вместе с хостингом и защищать бизнес от подобных атак. Например, СДЭК боремся с фейковыми фишинговыми сайтами с помощью специализированных подрядчиков. Также можно использовать возможности Центробанка, который заинтересован в том, чтобы мошенники не выводили деньги. Вместе с Роскомнадзором они могут блокировать нежелательные сайты, объясняет Станислав Колосков.

Некоторые компании практикуют выкуп схожих доменов. В марте 2020 года, когда были созданы десятки «поддельных сайтов» служб доставки, и ситуация оставалась острой на протяжении всего первого локдауна, ПЭК выкупил 48 доменов с адресами, похожими на название своего сайта. Результат такой: каждый вновь зарегистрированный домен все менее похож на оригинальный адрес, а злоумышленникам сложнее скрыть подделку. Другая позиция у Boxberry. Компания рассматривала выкуп доменов, но посчитала такое решение неэффективным – схожих сочетаний огромное количество, так что выкупить все просто невозможно.

В борьбе с фишингом важна проактивная позиция служб безопасности компаний. Например, в ПЭК разработана программа для борьбы с хакерскими атаками и специальная команда ежедневно мониторит вновь регистрируемые домены на предмет совпадения с официальным адресом сайта компании и не только с помощью программы, но и «в ручном режиме». В Boxberry тоже используют специализированные сервисы для мониторинга, чтобы выявить поддельные сайты, маскирующиеся под оригинал. Помимо этого, компания пересматривает рабочие процессы, чтобы исключить выявленные уязвимости и держит тесную связь с партнёрами (интернет-магазинами, площадками, другими курьерскими службами).

Ищите, кому выгодно
Еще одно важное направление профилактики кибермошенничества – информирование клиентов об этой проблеме. У Boxberry есть сервис для проверки ссылок на подлинность, его рекомендуется использовать для проверки подозрительного адреса сайта перед проведением оплаты. В СДЭК призывают клиентов соблюдать ряд рекомендаций: обращать внимание на цену (бесплатный сыр в мышеловке), обращать внимание на поведение продавца и на его попытки ускорить момент оплаты, вести общение с продавцом на сайте той системы, где выставлен товар, не переходить по ссылкам, отправленным в сторонних мессенджерах и так далее.

Как считают в «Додо Пицце», чтобы переломить тренд на увеличение числа случаев кибермошенничества, блокировок со стороны отдельных компаний недостаточно. Необходимы усилия со стороны всех игроков рынка, законодателей и регуляторов. В Group-IB тоже полагают, что для борьбы с фишингом, равно как и с другими киберпреступлениями, необходимо эффективное взаимодействие между всеми игроками рынка. В данном случае поисковиками, регистраторами и ответственными регуляторами, в том числе зарубежными. Зачастую злоумышленники из одной страны атакуют компанию из другого государства, используя при этом сайт с доменом, зарегистрированным в третьей стране.

Но есть сложности. Если выстроить работу по борьбе с фишингом системно, можно бороться с ним достаточно эффективно, блокировать много и быстро. Но это не принесет желаемого результата до тех пор пока мошенники попадают в контекстную рекламу поисковика, подчеркивают в «Додо Пицца». Как соглашаются в Infosecurity, некоторые регистраторы доменов и хостинг-провайдеры в первую очередь озабочены вопросами получения дополнительной прибыли, нежели противодействием цифровым угрозам, а с таким подходом фишинг будет только процветать.

Как бороться с фейковыми сайтами