Властные онлайн-двойники

Как эффективно защитить государственные порталы от фишинга

Росреестр решил нанять «охотника» за киберпреступниками, создающими сайты – двойники ведомства. С ростом популярности онлайн-услуг мошенники стали активно торговать фальшивыми выписками из Единого государственного реестра недвижимости (ЕГРН). Ведомство готово заплатить подрядчику 15 млн рублей за выявление фишинговых сайтов, мобильных приложений и рекламы в соцсетях. Эксперты считают, что одни только пресечения не остановят вал интернет-преступлений, необходимы комплексные меры.


ОХОТНИКИ ЗА ПСЕВДОУСЛУГАМИ

Росреестр на портале госзакупок разместил тендер на привлечение подрядчика по поиску сайтов-двойников. Начальная и максимальная цена контракта – 15 млн рублей. Из материалов госзакупки следует, что мониторинг и выявление поддельных сайтов должны осуществляться на основании таких ключевых слов, как «получение/покупка/выписки/сведения/ЕГРН/ЕГРП» во всевозможных написаниях. А также слов, созвучных и схожих по написанию с официальным наименованием ведомства – на русском и английском языках.

Подрядчик будет отрабатывать:

  • базу доменных имен исполнителя;
  • базы фишинговых и мошеннических ресурсов;
  • соцсети;
  • поисковые системы;
  • интернет-форумы;
  • официальные онлайн-магазины мобильных приложений;
  • неиндексируемые площадки;
  • телеграм-каналы.

Весной этого года Росреестр зафиксировал рост обращений за услугами на своем портале.

Только в апреле в ведомство поступило более 120 тыс. заявлений на учетно-регистрационные действия в электронном виде

Спрос на оформление ипотеки в онлайн-формате за неделю вырос на 16,5 процента. Портал «Госуслуги» вместе с популярностью у пользователей приобрел привлекательность и для мошенников, а вслед за ним – сайты различных ведомств, рассказывает RSpectr руководитель подразделения CERT-GIB компании Group-IB Александр Калинин. По его словам, спрос на онлайн-получение справок и выписок не мог пройти мимо злоумышленников.

Зачастую подобными сервисами пользуются, когда нет времени ожидать, хотя и бесплатного, официального документа или нет возможности авторизоваться в системе через «Госуслуги». При этом всегда есть риск передачи личных данных о банковской карте злоумышленникам, даже при успешном получении необходимой выписки, отмечает эксперт по информбезопасности Group-IB.

Александр Калинин, CERT-GIB:

– Сторонние сайты по проверке и оплате штрафов ГИБДД также активны. Помимо риска утери данных, возможна переплата комиссии за услугу по оплате штрафа. Наименование ведомств нередко используется в доменных именах сайтов, которые применяются для фишинга под другие ресурсы, например, социальные сети.

Портал госуслуг сегодня остается фаворитом у мошенников, поскольку этот сервис обслуживает актуальные социальные запросы, а заодно агрегирует массу личной информации о пользователях, включая платежные данные.

«Стоит государству анонсировать новые льготы, которые нужно оформлять через главный государственный портал, или ввести связанную с сайтом процедуру, например, получение сертификата о вакцинации или QR-кода о его наличии, так в Сети растет число сервисов-подделок», – рассказывает RSpectr начальник отдела информбезопасности (ИБ) «СёрчИнформ». Алексей Дрозд.

Помимо госуслуг, чаще всего копируют аналогичный портал Москвы, а также личные онлайн-кабинеты, в том числе в системе «клиент – банк»

«Последним трендом стала подделка сайта мэрии столицы с призывами ввести свои данные для розыгрыша призов после вакцинации от Covid-19», – отмечает в разговоре с RSpectr директор департамента информационной безопасности компании Oberon Евгений Суханов.

По данным ЦБ, на конец 2020 года сроки разделегирования подозрительных доменов составляли от трех часов до трех дней. Это неплохой показатель, считает А.Дрозд. Но проблема в том, что такой короткий «жизненный цикл» фишинговых сайтов заставляет мошенников агрессивнее их продвигать, отмечает эксперт.

Алексей Дрозд, «СёрчИнформ»:

– Из-за таргетинга, рекламы в поисковой выдаче, SMS-рассылок и пуш-уведомлений аудитория мошеннических ресурсов выросла в среднем до 100 тыс. человек в сутки – больше, чем фейковые сайты «органически» собирали трафик за недели.

Но проблема в том, что регистраторы доменов начинают блокировки только по заявлению. Пока никто не пострадал и не пожаловался, никаких действий не будет. То есть регуляторы и правоохранители всегда были в роли догоняющего, говорит А.Дрозд. С ним соглашается А.Калинин: «Такой подход не является эффективным и на несколько шагов отстает от злоумышленников, что приводит к большому количеству потенциальных жертв».

Очевидно, что Росреестр решил действовать на упреждение, силами наемного «охотника»-подрядчика. Будет ли новый подход эффективным?


СИСТЕМНАЯ БОРЬБА

После блокирования поддельного сайта злоумышленники создают его «зеркала», поэтому для решения проблемы требуется комплексный подход, отметил консультант по информационной безопасности R-Vision Максим Карчевский в разговоре с RSpectr. Эксперт считает, что необходимо создавать государственные сайты с удобным и понятным интерфейсом.

Максим Карчевский, R-Vision:

– Например, получение выписки из ЕГРН с данными об объекте недвижимости – очень трудоемкая задача: необходимо заполнить четыре страницы текстовых полей и выпадающих списков, ожидать несколько часов или дней проверки сведений, воспользоваться неудобными сервисами оплаты, дождаться поступления результатов на электронную почту.

Такие сложности приводят к тому, что граждане обращаются к сайтам-копиям с удобным интерфейсом и понятным процессом получения услуги.

М.Карчевский уверен, что

необходима централизация услуг на единых порталах: гражданам не придется вбивать в поисковых системах запросы, в топе выдачи которых находятся проплаченные рекламные объявления подозрительных сайтов

Следующий шаг – это контроль доступа к базам данных.

«Часто цель многих фишинговых сайтов заключается в том, чтобы получить от граждан плату за услуги, транслировать “капчу” и поля для заполнения с официального портала органа власти в браузер пользователя и выдать ему результат, полученный из легитимного источника информации. Необходимо отслеживать подозрительную деятельность и добавлять сервисы, ретранслирующие обращения граждан, в черные списки на межсетевых экранах», – полагает М.Карчевский.

В январе этого года член комитета Госдумы по информационной политике Антон Горелкин предлагал создать автоматический классификатор сайтов на базе искусственного интеллекта (ИИ), который бы предупреждал о возможном фишинге, обязательной модерации контента на сервисах бесплатного хостинга и верификации пользователей виртуальных номеров телефонов.

«Буквально на днях обсуждался российский стартап, который придумал ИИ-систему анализа фишингового контента на порталах. Планируется что-то вроде плагина в браузер, который будет сверять дизайн страницы с сайтами крупных организаций (пока речь о банках) и предупреждать об опасности, если дизайн похож, а домен не соответствует официальному», – рассказывает А.Дрозд. В то же время он отмечает, что технические меры нужны и полезны, но полной защиты они не дадут.

Эксперты уверены, что важный метод борьбы с фишингом – информирование пользователей и повышение ИБ-грамотности. В частности, такой вывод содержит последний отчет ФинЦЕРТ. На уровне государства подвижки в эту сторону есть. Например, А.Горелкин предлагал маркировать потенциально опасные ресурсы в браузерах, чтобы посетители таких сайтов сразу видели угрозу. А затем создать виджеты, которые позволят пользователям сообщать о подозрительных веб-страницах в один клик.
И все же этих мер будет мало, пока фишерам так просто создать фейковую страницу

Алексей Дрозд, «СёрчИнформ»:

– Возможно, было бы целесообразно ужесточить процедуру регистрации доменов, похожих на сайты госорганизаций или брендов. Например, помогла бы дополнительная верификация владельцев доменных имен.


ЗАКОН И НЕПОРЯДОК

Мнения экспертов о правовом ужесточении расходятся. Это обычное заблуждение, что любой вопрос можно законодательно зарегулировать, рассказывает RSpectr представитель адвокатского кабинета BonaFides Виктория Бессонова. По ее словам, еще никому не удалось достичь идеала, зато многие смогли навредить разнообразными нормативными «заплатками».

Максим Карчевский, R-Vision:

– Вспомним борьбу с торрентами и другими файлообменными системами, нарушающими законодательство. Блокировки долгое время были малоэффективны против VPN и Tor-сетей. Победить p2p-сети удалось повышением качества услуг. Например, сегодня граждане вместо использования незаконных сервисов, нарушающих интеллектуальные права владельцев, предпочитают легитимные онлайн-кинотеатры. Тем же путем было бы логично бороться и с поддельными сайтами государственных ведомств.

В целом, дополнительных законодательных нововведений не требуется, считает зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин. В разговоре с RSpectr он отметил, что в качестве предложений по совершенствованию практики можно обдумать правовое расширение перечня органов для обращений в суд с исками о признании информации запрещенной, как это недавно было сделано в отношении Банка России.

Что действительно нужно – так это повышение эффективности правоприменения и прозрачности интернет-среды, считает член комитета Торгово-промышленной палаты (ТПП РФ) по предпринимательству в сфере медиакоммуникаций Павел Катков.

Павел Катков, ТПП РФ:

– Первое можно попробовать обеспечить через новое расширение оснований для блокировок силами РКН по представлению ЦБ РФ. Второе – через специализированного доменного регистратора и иные аналогичные меры. Например, обязать рядовых провайдеров регистрировать подобные сайты только для органов власти.

Все эксперты сходятся в том, что принять новые карательные меры можно, но это не решит главный вопрос – как эффективнее выявлять угрозы. За последние годы звучало много инициатив по автоматизации этого процесса. Например, Ru-Cert в 2016 году анонсировал систему автоматического поиска и разделегирования фишинговых доменов в зонах .ru и .рф. А.Дрозд считает, что результата пока нет.

В 2020-м подобная идея появилась в паспорте федерального проекта «Информационная безопасность». Там говорится о создании госплатформы для мониторинга фишинговых сайтов и утечек персональных данных. Ее планируется запустить уже в этом году. Вложения составят 1,4 млрд рублей.


В ПОИСКАХ СТРАННОГО

Пока пользователям остается быть более внимательными и следовать простым, но надежным правилам. «Если услуга, которую вы пытаетесь получить, должна оказываться бесплатно, а с вас запрашивают какую-либо сумму – значит, перед вами клон официального сайта. Визуально такие порталы очень похожи на оригиналы, однако, если вам известно доменное имя (полная ссылка) нужного сервиса, открывайте в интернет-браузере сразу его», – поясняет А.Калинин.

Эксперт «СёрчИнформ» рекомендует обращать внимание на странный контент: некликабельные баннеры, ссылки, кнопки, невозможность перейти на другую страницу портала. «Часто бывает, что все наполнение сайта – картинка, работает только функция для фишингового сбора информации. Наличие форм, которые требуют ввода персональных или платежных данных без видимой необходимости, тоже должно насторожить», – говорит А.Дрозд.

М.Карчевский не рекомендует искать услуги госведомств в поисковых системах. Распознать фишинговый сайт по дизайну или названию в адресной строке достаточно сложно, хотя должным образом обученные основам информбезопасности пользователи способны увидеть подмену символа в адресе страницы и сделать соответствующие выводы.

Максим Карчевский, R-Vision:

– Безопаснее всего воспользоваться доверенными источниками: сервером органов государственной власти http://www.gov.ru/ или порталом https://www.gosuslugi.ru/structure, где опубликованы официальные сайты учреждений. При этом переход на них следует осуществлять, набирая адрес портала самостоятельно, а не по ссылке с другого интернет-ресурса.

Руководитель отдела продвижения продуктов компании «Код Безопасности» Павел Коростелев считает, что

борьба с фишингом двойников-госведомств стала вестись эффективней

«Раньше для блокировки поддельного сайта нужно было решение суда, что предполагало большое количество процессуальной работы. До вынесения вердикта сайт был в общем доступе и мог привлекать жертв. Сейчас процесс упрощен и ускорен – у провайдеров есть необходимая инфраструктура для быстрой блокировки сайтов-двойников по запросу госорганов», – рассказал он RSpectr.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Дипфейком не вышел
Программы по выявлению фальшивых лиц спасут репутацию известных людей