15 апреля 2020

Конструктор для киберпреступления: Group-IB фиксирует бум на рынке фишинг-китов

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует резкий подъем продаж на рынке фишинг-китов — «конструкторов» для массового создания фишинговых сайтов. За 2019-й год количество такого «товара» на андеграунд-форумах увеличилось более чем в два раза. Удвоилось и количество продавцов фишинг-китов. Рост спроса на один из наиболее популярных инструментов мошенников во всем мире отразился и на средней цене: она выросла на 149%, взлетев до $304 за набор. Эксперты Group-IB объясняют рост популярности фишинг-китов низким порогом входа на этот рынок и простотой реализации схемы заработка. В 2019 году брендами-фаворитами, от имени которых создавались фальшивые страницы, у создателей фишинг-китов были Amazon, Google и Office 365.

Фишинговый набор (англ. Phishing Kit) — это архивный файл, содержащий скрипты, необходимые для создания и работы фишингового сайта. Такой инструмент позволяет злоумышленникам, не обладающим глубокими навыками программирования, быстро разворачивать сотни фишинговых страниц, часто используя их как «зеркала» друг друга. При блокировке одного такого сайта — мошенник активирует другой, при блокировке этого — следующий и так далее. Таким образом, фишинг-кит позволяет атакующим быстро возобновлять работу вредоносных ресурсов, обеспечивая собственную неуязвимость. Этим объясняется интерес к ним со стороны специалистов по кибербезопасности. Детектирование фишинговых наборов позволяет не только находить сотни и даже тысячи фишинговых страниц, но и, что более важно, может служить отправной точкой расследований с целью идентификации их разработчиков и привлечения их к ответственности.

По данным команды Group-IB Threat Hunting Intelligence, проанализировавшей сотни андеграунд-форумов, в 2019 году число активных продавцов фишинговых наборов увеличилось более чем на 120% по сравнению с предыдущим годом. Как и следовало ожидать, количество уникальных объявлений, размещенных на этих ресурсах, также возросло более чем в два раза.

Выросла и стоимость фишингового набора, увеличившись вдвое в 2019-м относительно прошлого года. Так, в среднем, разработчики просили $304 за фишинг-кит, а в целом, цены варьировались в диапазоне от $20 до $880. Для сравнения, в 2018 году цены на фишинговые наборы находились в интервале от $10 до $824, а среднее значение составляло $122. Как правило, стоимость фишинговых наборов зависит от их сложности, а именно от качества и количества фишинговых страниц, а также наличия дополнительных сервисов, таких как, например, техническая поддержка со стороны разработчика.

Иногда фишинговые наборы предлагаются на форумах бесплатно. Это объясняется отнюдь не щедростью продавцов, а вероятным наличием в них бэкдоров, которые позволяют их авторам получать доступ к скомпрометированным данным.

 

Обнаружить и обезвредить: охота на фиш-киты

В прошлом году системой Group-IB Threat Intelligence было обнаружено более 16 200 уникальных фишинговых наборов. Однако их детектирование постоянно усложняется: киберпреступники стараются скрывать использование фиш-кита, удаляют его из кода или прибегают к различным способам сокрытия. Так, лишь 113 460 из 2,7 миллионов, т.е. 4% обнаруженных фишинговых страниц, позволили выявить «следы» используемых фишинговых наборов.

О росте спроса на фишинговые наборы свидетельствует и количество обнаруженных в них уникальных адресов электронной почты: согласно данным Центра реагирования на инциденты информационной безопасности (CERT-GIB), в прошлом году этот показатель вырос на 8%. Это может свидетельствовать о росте числа их операторов.

Для привлечения покупателей разработчики фишинговых наборов используют в них известные бренды с большой аудиторией, что в теории должно облегчить реализацию мошеннических схем для будущих владельцев таких наборов. В 2019 году наиболее часто использующимися в фишинговых наборах брендами были Amazon, Google, Instagram, Office 365 и PayPal, а на топ-3 интернет-площадок для торговли фишинговыми наборами был представлен Exploit, OGUsers и Crimenetwork.

Разработчики фишинговых наборов — это движущая сила фишинг-бизнеса во всем мире. Один человек может стоять за созданием сотен фишинговых страниц и зарабатывать на этом тысячи долларов, долгое время оставаясь незамеченным. Поэтому фокус специалистов по кибербезопасности должен смещаться с блокировки фишинговых страниц на поиск и идентификацию создателей фиш-китов. В практике Group-IB есть целый ряд расследований, благодаря которым удалось раскрыть личности разработчиков фишинговых наборов. Делясь подобной информацией с соответствующими правоохранительными органами и обеспечивая задержание киберпреступников, Group-IB преследует цель предотвратить дальнейшее распространение этого „заболевания“ и бороться не с его проявлениями в виде фишинговых страниц, а с его возбудителями — создателями фишинговых наборов, делая их работу экономически невыгодной.

Дмитрий Волков

Дмитрий Волков

Технический директор, руководитель Threat Intelligence, сооснователь Group-IB

За годы своей работы Group-IB аккумулировала обширную базу фишинговых наборов, что позволяет компании бороться с фишингом, нацеленным на конкретный бренд. Данная база регулярно обогащается: как только система Group-IB Threat Intelligence обнаруживает фишинговую страницу, соответствующий сервер сканируется на наличие фишинговых наборов.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 17-летний опыт расследования киберпреступлений по всему миру и более 60 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте