По данным команды Group-IB Threat Hunting Intelligence, проанализировавшей сотни андеграунд-форумов, в 2019 году число активных продавцов фишинговых наборов увеличилось более чем на 120% по сравнению с предыдущим годом, помимо этого количество уникальных объявлений, размещенных на этих ресурсах также возросло более, чем в два раза. Брендами-фаворитами, от имени которых создавались фальшивые страницы, у создателей фишинг-китов были Amazon, Google и Office 365.
Вдвое выросли и цены на фишинговые наборы. Так, в среднем один фишинг-кит стоит $304 (в 2018 году — $122), а диапазон цен варьировался от $20 до $880 (от $10 до $824 в 2018 году). Как правило, стоимость фишинговых наборов зависит от их сложности, а именно от качества и количества фишинговых страниц, а также наличия дополнительных сервисов, таких как, например, техническая поддержка со стороны разработчика. В то же время на форумах попадались и бесплатные варианты. Однако, согласно сообщению Group-IB, «это объясняется отнюдь не щедростью продавцов, а вероятным наличием в них бэкдоров, которые позволяют их авторам получать доступ к скомпрометированным данным».
Рост интереса к фишинговым наборам отметил и Центр реагирования на инциденты информационной безопасности (CERT-GIB). Согласно его данным, на 8% выросло количество уникальных адресов электронной почты, обнаруженных в фиш-китах.
Для привлечения покупателей разработчики фишинговых наборов используют в них известные бренды с большой аудиторией, что в теории должно облегчить реализацию мошеннических схем для будущих владельцев таких наборов. В 2019 году наиболее часто использующимися в фишинговых наборах брендами были Amazon, Google, Instagram, Office 365 и PayPal, а Топ-3 интернет-площадок для торговли фишинговыми наборами был представлен Exploit, OGUsers и Crimenetwork.
Охота на фиш-киты
Согласно исследованию, в прошлом году системой Group-IB Threat Intelligence было обнаружено более 16 200 уникальных фишинговых наборов. Однако их детектирование постоянно усложняется: киберпреступники стараются скрывать использование фиш-кита, удаляют его из кода или прибегают к различным способам сокрытия. Так, лишь 113 460 из 2,7 миллионов, т.е. 4% обнаруженных фишинговых страниц позволили выявить «следы» используемых содержали фишинговых наборов».
«Разработчики фишинговых наборов — это движущая сила фишинг-бизнеса во всем мире. Один человек может стоять за созданием сотен фишинговых страниц и зарабатывать на этом тысячи долларов, долгое время оставаясь незамеченным. Поэтому фокус специалистов по кибербезопасности должен смещаться с блокировки фишинговых страниц на поиск и идентификацию создателей фиш-китов», — отметил технический директор, руководитель Threat Intelligence и сооснователь Group-IB Дмитрий Волков.
По его мнению, выявление разработчиков фишинговых наборов, передача информации в правоохранительные органы и задержание таких киберпреступников должны предотвратить дальнейшее распространение этого «заболевания», сделав такую работу экономически невыгодной.