Фишинг-тренды первой половины 2011 года

За первую половину текущего года Антифишинговая рабочая группа (Anti-Phishing Working Group, APWG) зафиксировала свыше 112 тыс. фишинговых атак, что на 70% больше, чем в предыдущем полугодии, но меньше рекорда 2009 года, когда было зафиксировано 127 тыс. атак, большинство из которых было совершено благодаря ботнету Avalanche. Атакам подверглись 520 организаций: банки, сайты электронной коммерции, социальные сети, ISP, лотереи и бюро государственных налогов, почтовые сервисы и компании по безопасности.

Одной из причин увеличения этого показателя в 2011 году является рост активности китайских фишеров, предпочитающих атаковать соотечественников. Об этом сообщает аналитический центр Anti-Malware со ссылкой на новое исследование APWG  («Global Phishing Survey: Trends and Domain Name Use in 1H2011»).

По данным APWG, за полгода количество фишинговых атак на территории Китая увеличилось на 44%. Около 90% из них были направлены против клиентуры Taobao.com ― местного аналога eBay и Amazon. На долю китайцев пришлось также 70% доменов, зарегистрированных фишерами в отчетный период. Из них 37% были привязаны к зоне .TK (Токелау) , 25% ― .СС (Кокосовые острова), 21% - к .INFO, 12% - .COM.

Эксперты также отметили учащение случаев взлома веб-серверов, совместно используемых легальными владельцами доменов в качестве виртуальной хостинг-площадки. Получив административный доступ к такому ресурсу, фишер загружает копию поддельной страницы и вносит изменения в конфигурацию сервера, обеспечивая общий доступ именных узлов к новому контенту. В итоге каждый веб-сайт, привязанный к данному серверу, начинает воспроизводить эту фишинговую страницу. Таким образом, установив контроль над одним сервером, злоумышленник получает в свое распоряжение целую сеть ловушек, доступных через ресурсы с «белой» репутацией.

В первом полугодии APWG обнаружила около 42,5 тыс. разноименных фишинговых сайтов, созданных на виртуальных серверах (37% от общего количества). К счастью, такие плацдармы фишеров менее долговечны: среднее время их жизни составляет около 10 часов, а прочих сайтов-ловушек ― больше полусуток. В целом срок службы фишинговых сайтов значительно сократился и в среднем составил немногим более 54,5 часов ― на 25% меньше, чем в предыдущем полугодии.

Количество уникальных доменных имен, задействованных в фишинговых атаках, увеличилось на 87% и составило немногим менее 80 тысяч. 18% из них были зарегистрированы со злым умыслом, причем в 93% случаев фишеры отдавали предпочтение зонам .TK, .INFO, .COM или .NET. Число злоупотреблений на сервисах поддоменов также возросло, на 7%. Свыше 30% таких абьюзов пришлось на зону .СО.СС, вопреки активной позиции соответствующего сервиса в отношении жалоб. Тем не менее, это заметный прогресс по сравнению с предыдущим полугодием.

Помимо всего прочего, почти 3 тыс. атак были выявлены в 2,4 тыс. IP-адресах, а не на доменных именах. Это самый высокий показатель с 2009 года.