Новое исследование Anti-Phishing Working Group (APWG) показало, что уровень
фишинговых атак на сайты китайской электронной коммерции и сайты банков
повысился на 44% за первую половину 2011 года. Приблизительно 70% всех доменных
имен в мире, зарегистрированных в злонамеренных целях, принадлежат китайскими
преступниками для использования против китайских брендов и предприятий.
Большинство китайского фишинга принадлежит китайским же преступникам. Атаки
нацелены на китайские компании, а 88% подобных атак нацелены только на один
сайт: Taobao.com.
Исследователи APWG обнаружили, что количество фишинговых атак за первую
половину 2011 года выросло с 12 282 (вторая половина 2010 года) до 17 693.
Китайские киберпреступники зарегистрировали 11 192 уникальных доменных имен и
3 629 .CC поддомена для проведения этих атак. Во второй половине 2010 года было
установлено 6 382 уникальных доменных имени и 4 737 CO.CC субдомена.
В отличие от других хакеров, китайцы не используют взломанные домены. Вместо
этого они продолжают регистрировать новые домены, на которые заливаются
фишинговые страницы.
"Большинства китайских фишинговых атак проводятся китайскими преступниками,
жаждущими атаковать китайские компании, 88% из которых нацелены всего на один
сайт: Taobao.com", - отметил Грег Аарон, соавтор доклада для Afilias. "Поскольку
домены .CN сложно получить, эти фишеры используют другие домены верхнего уровня,
где домены и поддомены более доступны и дешевы".
Группировки киберпреступников в первой половине 2011 также оптимизировали
ранее мало распространную тактику захвата виртуальных серверов и,
соответственно, каждого сайта, принадлежащего этому серверу, умножая количество
доступных для фишинговых атак доменов.
"Используя сотни сайтов на зараженном веб-сервере, фишеры могут использовать
украденные ресурсы для создания огромного количества фишинговых сайтов", - пишет
Род Расмуссен, президент и технический директор Internet Identity, соавтор этого
доклада. "Это также позволяет им рассылать спам с помощью различных "хороших"
доменных имен, которые могут помочь миновать системы антиспама. К счастью, такие
сайты работают не так долго, как другие, поэтому эффективность этой техники
находится под сомнением".
Исследователи доложили, что для этой тактики было использовано 42 448
уникальные атаки, каждая из которых использовала разное доменное имя, что
составляет 37%в от общего числа фишинговых атак. Такое количество доменных имен
свидетельствует о большом скачке по сравнению с данными второй половины 2010
года.
И хотя исследование показало, что криминальные группировки продвинулись
вперед во многих технических вопросахх, некоторые данные указывают на то, что
киберпреступления были частично пресечены с помощью предупредительных мер и
приложений автоматического реагирования на киберпреступления.
Средний показатель продолжительности фишинговой атаки по сравнению с 2010
сократились в 2011. Обычная продолжительность атаки в 2011 составляла 54 часа 37
минут, а в 2010 – 73 часа.
"Мы рады, что благодаря многим факторам за полгода количество фишинговых атак
сократилось", - сказал Грег Аарон. "Это значит, что преступникам придется
работать усерднее, чтобы удачно совершать атаки на своих потенциальных жертв.
Увеличение материальных издержек со стороны преступников – главная цель всех
защитных мер".
В докладе также говорится о том, что:
- В мире было совершено как минимум 112 472 уникальные фишинговые атаки в
200 доменах верхнего уровня. Эта цифра гораздо выше той, что была во второй
половине 2010, но меньше рекорда 2009 года, когда было зафиксировано 126 697
атак, большинство из которых было совершено благодаря ботнету Avalanche. - Атаки использовали 79 753 уникальных доменных имени. В сравнении с 2007
годом это высокий показатель. - Помимо всего прочего, 2 960 атак были выявлены в 2 385 IP-адресах, а не
на доменных именах. Это самый высокий показатель с 2009 года. - Исследователи подсчитали, что атакам подверглись 520 организаций: банки,
сайты электронной коммерции, социальные сети, ISP, лотереи и бюро
государственных налогов, почтовые сервисы и компании по безопасности. - Почти 93% регистраций доменов использовали всего четыре домена верхнего
уровня: TK, .INFO, .COM, and .NET.