Как компаниям защищаться от цифровых двойников
5 мин
26
1
Фишинговые сайты, фальшивые приложения
Количество фишинговых сайтов, выявленных сервисом Solar AURA, выросло в 2025 году в 1,5 раза в сравнении с 2024-м. Тренд развивается и в 2026-м. При этом, как отмечают аналитики, мошенники всё реже используют фишинговые сайты для кражи денег, доступа к личным кабинетам клиентов банков. Они также перестали массово штамповать фейковые интернет-магазины для списания денег с карты жертвы. Снижение составило примерно 40% в сравнении с аналогичным периодом прошлого года. Это можно объяснить высокой скоростью блокировок операций через левый интернет-эквайринг, к тому же его стоимость в даркнете также выросла.
Теперь злоумышленники перешли на создание фейковых сайтов маркетплейсов, инвестиционных платформ, фальшивые формы входа на портал государственных услуг.
«Подобные фишинговые атаки отличаются тем, что в них ежедневно задействуются сотни, а то и тысячи доменных имен, причём в последние годы наблюдается тенденция к использованию доменов, не связанных с конкретным брендом», — рассказал директор по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско.
Если говорить о массовых фишинговых схемах, то они затрагивают в первую очередь крупные узнаваемые бренды с огромным оборотом: маркетплейсы, крупный ретейл, порталы с максимальной клиентской базой, отметил эксперт. «Количество фишинговых сайтов из расчёта на один бренд обычно невелико — 1–2 в год, но недооценивать эту угрозу тоже не стоит. Зачастую подобный фишинг долго остаётся незаметным для компании, от имени которой действуют злоумышленники, поэтому срок жизни фишингового сайта может составлять от пары недель до года», — рассказал Александр Вураско.
Как маркетплейсы отбиваются от фишинга
Ozon
Как рассказали «Киберболоиду» в пресс-службе Ozon, злоумышленники регулярно создают сайты — близнецы маркетплейса. Но есть нюансы: адрес такого лжесайта отличается одной буквой или доменной зоной (например, oz0n.ru или ozone.ru). Заманивают на эти фейковые интернет-площадки обычно через мессенджеры и email-рассылки пользователей: якобы от имени Ozon им приходят сообщения о суперскидках, беспроигрышных выигрышах, закрытых распродажах со ссылками на поддельные сайты. Если человек на таком сайте вводит свои данные, то они моментально попадают к злоумышленникам. Встречаются и предложения «лёгкого заработка» на маркетплейсе: злоумышленники, например, просят установить сторонние приложения или перейти по ссылке для оформления, после чего получают доступ к устройству.
В 2024 году был случай взлома аккаунта сотрудника поддержки Ozon в официальном сообществе VK, откуда мошенники запустили фишинговую рассылку. Компания быстро восстановила доступ и заблокировала рассылку.
«Для такого оперативного реагирования мы выстроили многоуровневую систему защиты. Для её создания мы запустили публичную программу поиска уязвимостей bug bounty. Также уделяем большое внимание обучению информационной безопасности сотрудников, например организуем внутренние фишинговые рассылки», — рассказали в Ozon.
Технически компания защищает аккаунты с помощью поведенческой аналитики: антифрод-системы анализируют типичные действия на сайте пользователей и сотрудников. При любом отклонении (например, при входе с нового устройства или нехарактерных действиях) система может автоматически заблокировать операцию. Это помогает компании предотвращать до 80% попыток взломов учётных записей. Ещё одно решение — отказ от устаревшей связки «логин-пароль» там, где это возможно. Например, в 2023 году Ozon сделал авторизацию в личном кабинете для сотрудников пунктов выдачи заказов Ozon «Турбо ПВЗ» через Ozon ID.
Flowwow
По словам руководителя направления информационной безопасности и ИТ-инфраструктуры маркетплейса подарков Дмитрия Бабчука, в последнее время компания фиксирует попытки создания поддельных сайтов для кражи персональных данных пользователей. В большинстве случаев мошенники используют наименование и логотип бренда, создавая одностраничные ресурсы низкого качества, которые предлагают авторизацию через портал «Госуслуги».
«Чтобы распознать подделку, важно обращать внимание на такие признаки, как качество сайта, доменное имя, методы авторизации. Для борьбы с этой угрозой мы постоянно мониторим Сеть, чтобы оперативно обнаружить подозрительные сайты, а также используем специализированный сервис по защите бренда, который позволяет блокировать фейковые страницы в кратчайшие сроки. Кроме того, мы рассказываем пользователям о возникающих новых схемах мошенничества и публикуем обучающие материалы о том, какими способами можно обезопасить себя и своих родных», — рассказал Дмитрий Бабчук.
Он также отметил, что Flowwow сталкивается с мошенничеством под видом трудоустройства или отслеживания посылок. Злоумышленники предлагают жертвам установить мобильное приложение якобы для выполнения тестового задания или чтобы узнать статус по заказам. На самом деле оно используется для удалённого управления устройством. Характерная особенность, по которой можно определить, что это мошенническая схема, — приложения всегда рассылаются в личных сообщениях, а не распространяются через официальные сторы.
versta.io
По словам сооснователя цифрового логистического оператора versta.io Валерия Геленавы, компания пока не сталкивалась с подделкой её бренда напрямую. Она действует проактивно: обучает сотрудников цифровой гигиене и проводит внутренние киберучения.
«Мы самостоятельно инициируем учебные фишинговые рассылки среди наших сотрудников, а затем анализируем, кто открыл письма, кто перешёл по ссылкам. Тех, кто попался, дополнительно обучаем. Это позволяет держать команду в тонусе и снижать риски, связанные с человеческим фактором», — рассказал Валерий Геленава.
Эффективность атак будет расти
В 2027–2030 годах рост фишинга, скорее всего, будет не столько количественный, сколько эволюционный, считает старший аналитик группы международной аналитики PT Cyber Analytics Артём Белей. Он может замедлиться в процентных показателях, но останется устойчивым, при этом средняя эффективность одной атаки будет расти, полагает эксперт.
Многое в этом вопросе зависит, по мнению экспертов, и от государства. «Если регуляторы и интернет-площадки внедрят тотальную блокировку подозрительных ресурсов и строгую валидацию отправителей писем, то масштабы фишинга могут быть локализованы. В этом случае атаки станут не массовыми, а точечными, нацеленными на конкретных лиц или организации», — считает начальник отдела по информационной безопасности компании «Код безопасности» Алексей Коробченко.
Но даже если регулятор примет ограничения, то всегда останутся лазейки за пределами Рунета. «Часть иностранных регистраторов и хостинг-провайдеров предоставляют возможность регистрации доменов с меньшими требованиями к идентификации личности. Это создаёт отдельные возможности для атак на российский рынок», — предупреждает аналитик сервиса проактивного мониторинга внешних цифровых угроз Jet CSIRT «Инфосистем Джет» Станислав Янчев.
Стоп фишинг: рекомендации ИБ
Главное — ежедневно мониторить появление созвучных доменов, фейковых аккаунтов топ-менеджмента и поддельных каналов техподдержки, считает руководитель направления отдела анализа и оценки цифровых угроз Infosecurity «Софтлайн решения» (ГК Softline) Максим Грязев. В то же время он отмечает, что сам по себе мониторинг без реагирования бесполезен. Критически важна скорость блокировки этих каналов и сайтов. Для системной работы с этим сейчас существуют специализированные DRP-сервисы.
Для мониторинга внешних цифровых угроз Александр Вураско рекомендует использовать профессиональную систему, а не делать это силами компании. «Также следует анализировать обратную связь от клиентов и партнёров. Это зачастую позволяет обнаруживать даже те фишинговые ресурсы, которые не представляется возможным выявить иными методами, а также получить образцы фишинговых писем, которые очень пригодятся при блокировке вредоносного сайта. Компаниям следует проводить работу с клиентами и партнёрами, информируя их о возможных угрозах, использовать почтовые фильтры и антивирусное программное обеспечение», — говорит эксперт.
Среди первоочередных методов защиты от фишинга в Ozon называют внедрение двухфакторной аутентификации «везде, где это возможно». Такой подход, по мнению специалистов компании, резко снижает риск взлома учётных записей сотрудников. В «МегаФоне» считают, что эффективное противодействие кибермошенникам невозможно без регулярного обучения сотрудников и проведения тренировочных фишинговых рассылок.
«Помимо стандартных технических мер и обучения сотрудников правилам цифровой гигиены, следует выстраивать коммуникации с клиентами так, чтобы не приучать их переходить по ссылкам из писем, — отмечает Валерий Геленава. — Нужно дублировать все важные уведомления в личном кабинете, чтобы у пользователя всегда была возможность проверить информацию в доверенной среде, а не кликать по ссылке из письма».
