За год в Рунете заблокировано 3230 доменов, имитирующих Telegram
2024 год стал поворотным с точки зрения обеспечения безопасности Рунета. На фоне растущего числа кибератак и интернет-угроз российские национальные домены продемонстрировали впечатляющую устойчивость и обеспечили стабильное функционирование российских сайтов.
Более того, в прошедшем году впервые удалось переломить тенденцию роста фишинга и значительно повысить уровень безопасности в доменах .RU и .РФ. В рамках проекта «Доменный патруль» компетентные организации направили 55 656 обращений к регистраторам о прекращении делегирования вредоносных доменов — всего на 1,2% больше, чем в 2023 году (54 977). Для сравнения: в 2023 году за аналогичный период число обращений выросло на 236% — с 16 324 до 54 977 (рис.1).
Рис. 1. Общее число доменов, заблокированных в рамках проекта «Доменный патруль»
Как и в предыдущие годы, фишинг остается самой значимой угрозой для пользователей Рунета — 82,6% обращений в 2024 году касались фишинга. Всего за 12 месяцев в рамках проекта «Доменный патруль» было заблокировано 53 930 вредоносных доменов.
Важным достижением стало и увеличение скорости реагирования: среднее время от подачи жалобы до блокировки вредоносного домена сократилось с 21,5 часа в 2023 году до 13,5 часов в 2024 году. Это стало возможным благодаря слаженной работе компетентных организаций и регистраторов, а также совершенствованию мониторинга.
Нельзя не сказать и про кириллический домен .РФ, который является одним из самых чистых в мире. 2024 год убедительно продемонстрировал, что усилия по повышению уровня безопасности Рунета приносят свои плоды. Если в 2023 году количество обращений в «Доменный патруль», касающихся доменов в зоне .РФ, превышало 5 % (5.09%) от общего числа обращений, то в 2024 году этот показатель составил всего лишь 0.52%.
Впрочем, несмотря на успехи в борьбе с киберугрозами, мошенники продолжают совершенствовать свои методы и внедряют новые схемы, что ставит перед нами новые вызовы.
Одним из наиболее заметных трендов 2024 года стало увеличение атак через мессенджеры, в первую очередь, через Telegram и WhatsApp. Мошенники активно исследуют профили пользователей в социальных сетях, выясняют их круг общения и взламывают аккаунты. Используя полученный доступ, они отправляют сообщения с просьбой перевести деньги или перейти по ссылке, обещая выгодные предложения — например, «проголосовать за племянницу» или оформить подписку на Telegram Premium. Часто такие ссылки ведут на фишинговые страницы, имитирующие формы авторизации в мессенджерах. И пользователи, введя свои данные, теряют доступ к аккаунту.
Данные проекта «Доменный патруль» подтверждают масштаб этой угрозы: в 2024 году было заблокировано 3230 доменов, имитирующих Telegram, что почти в 3 раза больше, чем за 2023 год (1168 доменов) (рис.2).
Рис. 2. Число заблокированных доменов, нацеленных на пользователей Telegram
Итоги 2024 года для WhatsApp еще более впечатляющие: за год количество доменов, имитирующий этот мессенджер, выросло более чем в 7 раз – с 218 заблокированных доменов в 2023 году до 1527 в 2024 (рис. 3).
Рис. 3. Число заблокированных доменов, нацеленных на пользователей WhatsApp
Особенно активными мошенники были в преддверии новогодних праздников, когда стали заманивать пользователей Telegram различными акциями и якобы выгодными предложениями. В ноябре-декабре 2024 года число таких случаев превысило 1 тыс., в то время как за аналогичный период 2023 года было зафиксировано всего 50 таких случаев.
Наиболее распространенные схемы обмана пользователей:
1. Предновогодние выплаты
Мошенники создают Telegram-каналы, в которых распространяют фейковые сообщения о возможностях получения россиянами «предновогодних выплат».
В одних сценариях речь идет о якобы подписанном президентом указе о выплате всем россиянам 17 490 рублей, в других – о 10 000 рублей по вымышленной госпрограмме «Подарок в каждый дом». Также иногда фигурируют суммы до 35 000 рублей для людей с доходом ниже определенного уровня. Чтобы придать большей правдоподобности, мошенники используют официальные формулировки и часто сопровождают посты фотографией Владимира Путина.
Затем пользователям предлагают пройти «простую проверку» для получения выплаты. Как правило, это выглядит как переход по ссылке или отправка кода, который якобы нужен для подтверждения личности. По ссылке скрывается фишинговый сайт, где пользователя просят ввести номер телефона и код из SMS, который приходит от Telegram для входа в аккаунт. Таким образом мошенники получают доступ к аккаунту.
2. Предновогодние распродажи
Мошенники публикуют в сети объявления о продаже различных товаров с большими скидками. Когда покупатель заинтересовался, мошенник говорит, что товар уже раскупили. Вместо этого ему предлагают более дешевый аналог с хорошими характеристиками. Ссылка на него ведет в Telegram. Чаще всего переход предлагается по qr-коду
Как только он переходит по ней, его перенаправляют на поддельный сайт, где просят ввести номер телефона и код из SMS якобы для подтверждения аккаунта. На самом деле этот код используется для входа в Telegram. Если жертва уже авторизована в Telegram, ссылка может запускать вредоносный скрипт, перехватывающий данные сессии пользователя.
3. Билеты на елки/концерты/спектакли
Мошенники запускают рекламу или публикуют посты о продаже билетов на елки, концерты и спектакли по низким ценам, чтобы привлечь внимание потенциальных жертв. Когда покупатель проявляет интерес, ему предлагают связаться через Telegram для уточнения деталей.
Затем ему присылают ссылку на якобы официальный ресурс или билетный сервис. На самом деле, эта ссылка ведет на фишинговый сайт, где покупателя просят ввести номер телефона и код из SMS для подтверждения покупки. Как только жертва вводит данные, мошенники используют код для входа в ее Telegram-аккаунт.
4. Голосования
В этой схеме мошенники сначала либо взламывают Telegram-аккаунт одного пользователя, а затем от его имени рассылают по списку контактов сообщения с просьбой проголосовать за участника «детского конкурса» – племянницу, родственницу и т.д., или создают поддельный аккаунт школы, детсада, класса или группы.
Ссылка ведет на поддельный сайт с голосованием, где после попытки отдать голос появляется запрос на авторизацию через Telegram «для защиты от накруток». Жертва вводит номер телефона и одноразовый код из SMS, что позволяет злоумышленникам получить доступ к аккаунту.
Во всех этих схемах цель одна – получение доступа к контактам жертвы. Дальше у мошенников много других схем для жертв из списка контактов, и самый распространенный из них – просьба одолжить денег.
Какие еще схемы использовались в 2024 году?
В 2024 году мошенники также продолжили использовать чат-ботов, представляясь брокерскими компаниями, предлагающими «инвестиционные» платформы банков. Эти схемы базируются на стремлении людей к быстрому обогащению: фальшивые сайты предлагают пройти тест, который якобы дает доступ к платформе банка для торговли акциями мировых компаний.
После его прохождения на сайте открывается чат, где якобы созданный разработчиками банка бот ведет диалог с потенциальной жертвой. Робот предлагает взять на себя всю «грязную» брокерскую работу – ежедневно анализировать финансовый рынок и самостоятельно совершать сделки по продаже и покупке акций «мировых компаний». Для старта работы бота-брокера пользователю предлагается лишь рассчитать дневной доход от инвестиций, отправить деньги и ждать прибыли. Разумеется, после отправки средств деньги уходят к мошенникам, а «инвесторы» остаются без обещанной прибыли.
Схемы с участием банков традиционно популярны у мошенников, поскольку позволяют получить доступ не только к персональным данным клиентов, но и их средствам. Сбер и Альфа Банк стабильно входят в топ-10 самых имитируемых российских брендов, а в этом году к ним добавился и ВТБ.
Всего в 2024 году в зонах .RU и .РФ в рамках проекта «Доменный патруль» было заблокировано 9277 фишинговых доменов, имитировавших ресурсы Сбера, 2296 поддельных доменов Альфа Банка и 649 доменов по ВТБ.
Помимо создания фишинговых страниц, имитирующих сайты или личные кабинеты реальных банков, мошенники нередко создают страницы фальшивых, несуществующих банков.
Еще одна распространенная схема «отъема денег у населения» – организация культурного досуга. В 2024 году фишинг в этой категории был очень популярен – ведь билеты в театры, на концерты, в кино остаются излюбленной темой у мошенников. Поддельные сайты, визуально ничем не отличающиеся от оригинальных, продолжают успешно вводить в заблуждение пользователей интернета. В этой категории силами проекта «Доменный патруль» было прекращено делегирование около 2200 доменов.
В каких сферах удалось победить фишинг?
Тем не менее, в некоторых сферах удалось достичь значительного снижения фишинга. Например, число фальшивых сайтов, предлагающих авиабилеты, практически исчезло: в 2024 году заблокирован всего один сайт, в то время как в 2021 году их было 254. Это указывает на то, что мошенники вынуждены искать лазейки в других доменных зонах. Фишинг на других популярных платформах, таких как tutu.ru, kupibilet.ru, anydayanyway.com и Aeroflot.ru, тоже практически полностью сошел на нет.
Также в прошлом году мы не наблюдали всплеска фишинга в период проведения «Черной пятницы». С 25 ноября по 1 декабря в зонах .RU и .РФ было заблокировано 152 фишинговых домена, имитирующих популярные российские маркетплейсы, в то время как в 2023 году за аналогичный период было заблокировано 273 таких домена.
Но, несмотря на значительные успехи в борьбе с фишингом, пользователи должны оставаться бдительными, а компании и государственные организации – совершенствовать системы защиты и повышать киберграмотность своих сотрудников.
Важную роль в борьбе с фишингом играют мероприятия, направленные на повышение уровня цифровой грамотности интернет-пользователей – такие как, например, «Цифровой диктант», количество участников которого растет из года в год. Например, в 2024 году число участников «Цифрового диктанта» было в 1,5 раза выше, чем в 2023. Растет и число участников различных образовательных проектов Координационного центра доменов .RU/. РФ, объединенных под брендом «Академия КЦ». Все больше людей понимают необходимость не только освоения базовых цифровых навыков, но и углубления своих знаний для качественного и безопасного использования интернет-сервисов и обеспечения собственной безопасности в сети.
Главный совет, который можно дать пользователям – в коммуникации не переходить по ссылкам на внешние сайты, мессенджеры или чат-боты, а также соблюдать общие меры предосторожности. В первую очередь, настроить двухфакторную аутентификацию и закрыть доступ к личным данным в аккаунте. Будьте внимательны и к сообщениям от знакомых: если они просят срочно перевести деньги, нужно убедиться, что аккаунт не взломан, связавшись напрямую через другой канал. Простая бдительность поможет избежать утраты доступа к аккаунту и финансовых потерь.
Чего ожидать в 2025 году?
По нашим прогнозам, в 2025 году рост атак через Telegram и другие мессенджеры продолжится, с акцентом на фишинг и социальную инженерию. Мошенники также будут использовать вредоносное ПО для доступа к устройствам и кражи денежных средств пользователей. Кроме того, будет активно применяться искусственный интеллект для создания более сложных фишинговых схем и дипфейков в аудио- и видеоформатах. Поэтому всем нам важно не снижать бдительность и продолжать работу по обеспечению безопасности Рунета.
Евгений Панков,
руководитель проектов Координационного центра доменов .RU/.РФ
