Хакеры ломятся в банки

В июле произошел резкий всплеск фишинговых атак на клиентов российских банков. Всего за месяц эксперты по кибербезопасности обнаружили сразу 312 новых фишинговых доменных имен популярных финансовых организаций — больше, чем за все предыдущее полугодие, причем сайты сконструированы на единой платформе. Фейковые сайты появляются при выдаче в поиске и рекламируют себя в интернете, подтверждают в банках.

В июле поставлен рекорд по фишингу среди клиентов российских банков: появилось 312 доменных имен, что больше, чем за все предыдущие месяцы 2020 года, вместе взятые, сообщил телеграм-канал @In4security, указывая, что с начала года общее количество таких доменов составило 618. Две трети доменных имен оформлены через российских регистраторов, многие — в экзотических доменных зонах .cf или .icu.

Новые фишинговые сайты устроены по одной схеме. К официальному домену банка мошенники добавляют один или несколько символов или приставки «online», «cabinet», «vhod» и «login».
Такие сайты имитируют страницы входа в личный кабинет банковского обслуживания, причем атаки нацелены на корпоративный сектор. После ввода логина и пароля пользователю предлагается скачать плагин для браузера, под видом которого доставляется троян. Все сайты основаны на единой программной платформе для создания и управления фишинговыми ресурсами, то есть атака стала результатом деятельности одной преступной группы, констатирует руководитель блока спецсервисов Infosecurity a Softline Company Сергей Трухачев.

В «Лаборатории Касперского» тоже с апреля заметили рост фишинговых сайтов, маскирующихся под финансовые организации, подтверждает старший контент-аналитик Татьяна Сидорина. Мошенники могут выманивать конфиденциальную информацию или якобы проводить опросы от имени банков, предупреждает она.

В банках подтверждают всплеск активности фишинговых ресурсов.

Число выявленных в июле мошеннических порталов-двойников выросло в 2,5 раза и превысило 50 адресов, говорят в ВТБ. Фейковые страницы выводятся в поисковых запросах, клиенты оставляют на таких ресурсах свои данные, а мошенники выводят средства жертв со счетов через некоторое время.

Заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков подтверждает тенденцию. В первом полугодии количество фишинговых сайтов, связанных с упоминанием Газпромбанка, по отношению к концу 2019 года действительно выросло на порядок, говорит господин Плешков.

В Райффайзенбанке зафиксировали появление рекламы мошеннических сайтов, которые точно копируют страницу входа в личный кабинет онлайн-банка и используют похожий адрес. Эти ресурсы и соответствующая реклама были заблокированы, рассказал руководитель группы мониторинга и предотвращения кибератак отдела информационной безопасности Райффайзенбанка Павел Нагин. Он отметил, что банк ведет диалог с крупными рекламными площадками, благодаря чему блокирует вредоносную рекламу обычно в течение нескольких часов.

В июле и августе о себе заявила новая группировка TinyScouts, атакующая фишинг-рассылками банки и энергетические компании, рассказал руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игорь Залевский. По его словам, рассылки посвящены второй волне коронавируса либо заточены под атакуемую организацию и ее деятельность и содержат вредоносный софт, который дает злоумышленникам доступ к информации об устройстве и его владельце. Этот сценарий атаки предоставляет киберпреступникам широкий спектр вариантов монетизации: вывод финансовых средств, хищение конфиденциальных данных, шпионаж, поясняет эксперт. Около 70% сложных целенаправленных атак на российские компании и организации начинаются именно с фишинга, заключил господин Залевский.

С марта количество фишинговых писем, нацеленных на юридических лиц, выросло на 50%, говорит директор блока экспертных сервисов Bi.Zone Евгений Волошин. С частными лицами ситуация иная — здесь практически отсутствует классический фишинг с банковскими троянами, но преобладает телефонная социальная инженерия, отмечает он. Кроме того, сейчас мошенники стали снова переоформлять SIM-карты по фальшивой доверенности, чтобы получить доступ к онлайн-банку жертвы. Также все чаще используется схема, когда мошенники обманным путем вынуждают жертву взять кредит, а после перевести средства с кредитного счета на карту злоумышленников, при этом в качестве основного канала атаки также используются телефонные звонки, добавляет эксперт.