В зоне .ru заметили волну регистраций доменных имен, в которых используются названия известных брендов с припиской -off. Например, PANDORA-OFF.ru, detskiy-mir-off.ru. Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ», заметил, что все вновь зарегистрированные домены эксплуатируют названия торговых организаций и считает, что это новая ловушка фишеров.
– Есть признаки массовой регистрации адресов для большой фишинговой атаки. В сети появилось множество адресов с припиской -off. По нашим подсчетам, только в доменной зоне .ru, в сентябре подобных доменов было всего 7, в октябре уже 196, 193 из которых были зарегистрированы после 20 октября. Обращает внимание, что все найденные нами домены так или иначе эксплуатируют название торговых организаций и брендов из b2c-сегмента: мебельные компании (MARIYA-OFF.ru, MNOGO-MEBELI-OFF.ru), аптеки (FARMLEND-OFF.ru, MELODIYA-ZDOROVYA-OFF.ru), ювелирные салоны (PANDORA-OFF.ru, ADAMAS-OFF.ru, 585-GOLD-OFF.ru), сотовый ритейл (BEELINE-OFF.ru, TELE2-OFF.ru), магазины одежды (MODIS-OFF.ru, SELA-OFF.RU), DIY (LEROY-MERLIN-OFF.ru) и так далее.
Похоже, в сценарии атаки фишеры хотели пускать пыль в глаза, притворяясь «официальными» онлайн-магазинами. Вероятно, мошенники готовятся к сезону праздничных распродаж.
[insert name="insert-try"]С большой долей вероятности такая массовая регистрация организована под фишинговый сценарий, который ставит целью выманить платежные данные или заставить оплатить несуществующий товар. Теоретически это могла бы быть легальная маркетинговая акция, организованная рекламным агентством. Но против этой версии говорит тот факт, что в регистрации очень разнородные бренды. Но главное – налицо признаки мошенничества: домены зарегистрированы на частное лицо. Для сравнения реальный сайт торговой сети spar.ru в отличие от SPAR-OFF.ru – зарегистрирован на организацию Spar Russia B.V.
Возможную «выручку» от мошеннической схемы оценить сложно. Она зависит от качества проработки сценария, масштабов раскинутых «сетей» фишинга, схем монетизации. Затраты, которые можно оценить на данный момент, – это оплата домена (простые можно купить до 200 рублей в год) и хостинга. Мошенническая схема состоит из нескольких этапов: покупка домена и хостинга, разворачивание на них поддельного сайта, заманивание на сайт жертв (через рекламу, проплаченных блогеров и т.д.). Каждый из этапов подразумевает свои траты, но мы с вами на данный момент стали свидетелями лишь первого. Успели ли организаторы раскошелиться на дизайн и раскрутку, неизвестно.
Пока на сайтах этих доменов висят «заглушки», говорящие, что содержимое появится позже. Но скорее всего мошенникам уже не удастся реализовать схему после огласки. Пока публикации в СМИ остаются единственным способом спугнуть злоумышленников.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных