Новые мишени фишеров

Фишеры продолжают беспокоить пользователей Интернета, придумывая все новые ходы для кражи личных данных с целью получения материальной выгоды. Авторы глобального отчета о фишинге в первой половине 2014 года попытались исследовать основные тенденции фишинга и понять его основные сценарии.

За первое полугодие 2014 года было осуществлено 123,7 тыс. уникальных фишинговых атак по всему миру. В последний раз такие показатели наблюдались во второй половине 2009 года. В основном атаки производились на слабозащищенные хостинги при помощи вредоносных доменов и субдоменов. Под атакой подразумевается фишинговый сайт, который нацелен на определенный бренд или предприятие. Одно доменное имя может участвовать в нескольких фишинговых операциях. В этом году фишинговые атаки были произведены при помощи 87,9 тыс. уникальных доменных имен. Из них около 22,67 тыс. были зарегистрированы самими фишерами. Большинство из этих регистраций были произведены фишерами из Китая, которые пользовались отсутствием платы в некоторых доменах верхнего уровня. 19,356 тыс. из 22,67 тыс. были специально зарегистрированы для атак на предприятия в Китае. Остальные 59,48 тыс. из 87,9 тыс. были взломаны и незаконно использованы фишерами.

За первое полугодие 2014 года мишенями фишеров оказались 756 предприятий – это рекордное количество за всю историю наблюдений. Стоит отметить, что половина названий этих предприятий не фигурировала в предыдущие годы. Можно сделать вывод, что фишеры пробуют новые мишени. В группе риска находится любое предприятие, представленное в Интернете и, имеющее доступ к своим данным посредством Интернета.

Как видно из графика, самой атакуемой стала область электронной коммерции. За ней следуют банки, сайты, предоставляющие услуги по переводу денежных средств, и социальные сети.

Лидером по количеству фишинговых атак стала компания Apple. На нее пришлось рекордное количество – 21,951 тыс. атак (17%). На долю PayPal выпали 17,811 атак или 14,4%, а на Taobao.com – 16,418 тыс. или 13,2%.

Фишинговые домены зафиксированы в 227 зонах, но 90% вредоносных доменных регистраций были произведены только в пяти из них: .COM, .TK (Токелау), .PW (Палау), .CF (Центрально-Африканская республика) и .NET. И совсем немного фишинговых атак зафиксированы в новых доменах верхнего уровня.

Как видно на графике, домен .COM встречается в фишинговых атаках чаще всего.

Из 89,9 тыс. доменных имен 112 доменов были многоязычными (IDN). На основе отчетов за предыдущие годы, можно сделать вывод, что IDN не интересуют фишеров в качестве инструментов для произведения атак.

Как же повлиял запуск новых доменов верхнего уровня на ситуацию с фишингом? Вопреки всем опасениям, new TLD не взорвали бомбу фишинга. На вопрос, почему фишеры не воспользовались свободным именным пространством, есть ответ. Дело в том, что фишеры никогда не регистрируют домены с названиями брендов, которые являются их мишенью. Они скорее используют название бренда в субдоменах (14% от всех фишинговых атак), запутывая, таким образом, своих жертв. К тому же, цены на многие новые домены еще слишком высоки, так как во многих еще не наступил период открытой регистрации. Однако все изменится. Многие регистратуры начнут вести агрессивную политику и резко снизят цены в борьбе с конкурентами. К тому же, new TLD вскоре уже будут полноценно интегрированы в интернет-пространство и не вызовут подозрений у пользователей.

В следующем исследовании, которое будет составлено в начале 2015 года, мы сможем увидеть, какую роль в развитии фишинга сыграют новые домены верхнего уровня.