ЦБ пришел к фишингу, но побороть легальные «вредоносные» сайты не может

Количество выявленных вредоносных сайтов в прошлом году приблизилось к 1 тыс., и почти 90% таких доменов было разделегировано, сообщил ЦБ. В то же время пока Банк России бессилен против легальных сайтов с низким уровнем безопасности, взломанных злоумышленниками и годами распространяющих вредоносное программное обеспечение.

Всего в 2017 году Банк России разделегировал (то есть лишил их владельцев прав на доменное имя) 840 доменов, среди которых 740 являлись фишинговыми сайтами и 100 распространяли вредоносное программное обеспечение (подробнее см. график). При этом, по словам консультанта ФинЦЕРТа Екатерины Старостиной, в прошлом году на разделегирование был направлен 961 сайт.

Согласно последнему отчету ФинЦЕРТа, разделегированию подлежат домены в случае, когда с них рассылается вредоносный код или же на домене находится сайт, собирающий данные платежных карт. Кроме того, подлежат разделегированию домены, являющиеся командным центром ботнета, если на домене размещены материалы фишингового содержания в отношении клиентов организаций кредитно-финансовой сферы или материалы, посвященные мошенничеству в финансовой сфере.

Эксперты отмечают, что использование технологий фишинга крайне популярно. Треть всех кибератак нацелена именно на частных лиц, и тройка методов, которые используют атакующие, выглядит так: социальная инженерия (рассылка фишинговых писем в том числе) — 37%, компрометация учетных данных — 26% и заражение вредоносным ПО — 16%»,— рассказывает руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. Однако и в атаках на компании они применяются широко. По данным Solar JSOC за первое полугодие 2017 года, в 62% случаев первым этапом внешних атак является рассылка писем с фишинговыми ссылками или вредоносными вложениями. Фишинг активно использовался в 2017 году и при атаках на банки. «Например, пресловутый Cobalt в каждой своей рассылке фишинговых писем пользуется поддельными доменами, очень похожими на домены легитимных игроков»,— отметил Алексей Новиков. По его словам, в конце прошлого года для рассылки писем якобы от имени Банка России группировка зарегистрировала домен cards-cbr.ru.

В то же время остается проблема, которую ЦБ пока не может решить,— это сайты, зарегистрированные пользователями на вполне легитимных основаниях, но имеющие недостаточную защиту. Их уязвимостью могут воспользоваться злоумышленники и разместить на них фишинговые страницы, которые могут имитировать какой-то банк или иным способом похищать средства или данные пользователей. Алексей Новиков приводит пример с заражением вирусом BadRabbit. «Злоумышленники предварительно были нацелены на инфраструктуру легитимных новостных ресурсов, с которых далее происходила “раздача” вредоносного ПО»,— отметил он.

В таких случаях ЦБ может лишь предупредить владельцев сайта. По словам собеседника “Ъ” в правоохранительных органах, им известны несколько сайтов, которые заражают своих посетителей годами. «Теоретически можно было бы блокировать работу данных ресурсов до тех пора, пока владельцы не удалят противоправный контент и не устранят уязвимости, но, к сожалению, это чрезвычайно трудоемкий и сложный процесс»,— отметил он. Когда речь идет о фишинговом сайте, то для разделегирования достаточно письма регистратору. C легальным сайтом это невозможно — практика свидетельствует об успешном оспаривании подобных действий. Поэтому «необходимо обратиться сначала к хостеру (причем на иностранный хостер воздействовать затруднительно), необходимо разыскать владельца и обратиться к нему, кроме того, потребуется доказывать факт взлома сайта, раздачу с него вредоносного ПО и т. д.»,— поясняет эксперт.