Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует резкий подъем продаж на рынке фишинг-китов «конструкторов» для массового создания фишинговых сайтов. За 2019-й год количество такого «товара» на андеграунд-форумах увеличилось более чем в два раза. Удвоилось и количество продавцов фишинг-китов. Рост спроса на один из наиболее популярных инструментов мошенников во всем мире отразился и на средней цене: она выросла на 149%, взлетев до $304 за набор. Эксперты Group-IB объясняют рост популярности фишинг-китов низким порогом входа на этот рынок и простотой реализации схемы заработка. В 2019 году брендами-фаворитами, от имени которых создавались фальшивые страницы, у создателей фишинг-китов были Amazon, Google и Office 365.
Фишинговый набор (англ. Phishing Kit) это архивный файл, содержащий скрипты, необходимые для создания и работы фишингового сайта. Такой инструмент позволяет злоумышленникам, не обладающим глубокими навыками программирования, быстро разворачивать сотни фишинговых страниц, часто используя их как «зеркала» друг друга. При блокировке одного такого сайта мошенник активирует другой, при блокировке этого следующий и так далее. Таким образом, фишинг-кит позволяет атакующим быстро возобновлять работу вредоносных ресурсов, обеспечивая собственную неуязвимость. Этим объясняется интерес к ним со стороны специалистов по кибербезопасности. Детектирование фишинговых наборов позволяет не только находить сотни и даже тысячи фишинговых страниц, но и, что более важно, может служить отправной точкой расследований с целью идентификации их разработчиков и привлечения их к ответственности.
По данным команды Group-IB Threat Hunting Intelligence, проанализировавшей сотни андеграунд-форумов, в 2019 году число активных продавцов фишинговых наборов увеличилось более чем на 120% по сравнению с предыдущим годом. Как и следовало ожидать, количество уникальных объявлений, размещенных на этих ресурсах, также возросло более чем в два раза.
Выросла и стоимость фишингового набора, увеличившись вдвое в 2019-м относительно прошлого года. Так, в среднем, разработчики просили $304 за фишинг-кит, а в целом, цены варьировались в диапазоне от $20 до $880. Для сравнения, в 2018 году цены на фишинговые наборы находились в интервале от $10 до $824, а среднее значение составляло $122. Как правило, стоимость фишинговых наборов зависит от их сложности, а именно от качества и количества фишинговых страниц, а также наличия дополнительных сервисов, таких как, например, техническая поддержка со стороны разработчика.
Иногда фишинговые наборы предлагаются на форумах бесплатно. Это объясняется отнюдь не щедростью продавцов, а вероятным наличием в них бэкдоров, которые позволяют их авторам получать доступ к скомпрометированным данным.
Обнаружить и обезвредить: охота на фиш-киты
В прошлом году системой Group-IB Threat Intelligence было обнаружено более 16 200 уникальных фишинговых наборов. Однако их детектирование постоянно усложняется: киберпреступники стараются скрывать использование фиш-кита, удаляют его из кода или прибегают к различным способам сокрытия. Так, лишь 113 460 из 2,7 миллионов, т.е. 4% обнаруженных фишинговых страниц, позволили выявить «следы» используемых фишинговых наборов.
О росте спроса на фишинговые наборы свидетельствует и количество обнаруженных в них уникальных адресов электронной почты: согласно данным Центра реагирования на инциденты информационной безопасности (CERT-GIB), в прошлом году этот показатель вырос на 8%. Это может свидетельствовать о росте числа их операторов.
Для привлечения покупателей разработчики фишинговых наборов используют в них известные бренды с большой аудиторией, что в теории должно облегчить реализацию мошеннических схем для будущих владельцев таких наборов. В 2019 году наиболее часто использующимися в фишинговых наборах брендами были Amazon, Google, Instagram, Office 365 и PayPal, а на топ-3 интернет-площадок для торговли фишинговыми наборами был представлен Exploit, OGUsers и Crimenetwork.
Технический директор, руководитель Threat Intelligence, сооснователь Group-IB
За годы своей работы Group-IB аккумулировала обширную базу фишинговых наборов, что позволяет компании бороться с фишингом, нацеленным на конкретный бренд. Данная база регулярно обогащается: как только система Group-IB Threat Intelligence обнаруживает фишинговую страницу, соответствующий сервер сканируется на наличие фишинговых наборов.