Число опасных доменов в Рунете снизилось на 40%
Рунет достиг рекордных показателей по снижению объема токсичных сайтов.
Несмотря на 30%-й рост в 2018 году числа потенциально опасных ресурсов (фишинговых или содержащих вредоносное ПО), на долю Рунета пришлось менее 20% таких сайтов. При этом годом ранее доля токсичных сайтов в российском сегменте интернета составляла порядка 50%. Такие данные приводятся в новом отчете ИБ-компании Group-IB.
Как отмечают специалисты, фишинг становится все более дешевым и изощренным, однако злоумышленники постепенно уходят из зоны .РУ. В частности, количество заблокированных опасных доменов сократилось на 40% по сравнению с 2017 годом. Злоумышленники все чаще отдают предпочтение зоне .com: количество токсичных ресурсов там увеличилось почти в 3 раза в 2018 году. Также злоумышленники стали чаще выбирать новые домены верхнего уровня «New gTLD» (.online; .website; .space и т.д.). Такой тренд отчасти объясняется активной работой команд по мониторингу и реагированию на компьютерные инциденты и Координационного центра доменов .RU/.РФ.
Согласно отчету, общее число фишинговых ресурсов, расположенных в различных доменных зонах, включая .РУ, в 2018 году выросло на 44% (в среднем рост составлял 15% в квартал). Однако, отмечают специалисты, только 10% из этого количества (458) пришлось на домены в российской зоне, тогда как в 2017 году данный показатель составлял 27%. Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне, в 2018 году также сократилось на 44% по сравнению с 2017 годом.
Электронная почта по-прежнему остается наиболее популярным методом рассылки вредоносного ПО. Соотношение доставки вредоносов по электронной почте и загрузки через браузер на протяжении 2018 года оставалось на уровне 12 к 1. При этом во второй половине 2018 года доля загрузок вредоносного ПО посредством браузера сократилась до исторического минимума и составила порядка 3%.
Одной из ключевых тенденций 2018 года стало использование публичных почтовых сервисов для распространения вредоносных программ. В частности, в пятерку наиболее активно использовавшихся почтовых доменов вошли mail.ru, yandex.ru и gmail.com.
Как и в 2017 году, наиболее распространенным способом доставки вредоносов стали вложения к письмам (82% случаев), а число инцидентов с использованием URL-ссылок в письмах, ведущих на загрузку вредоносного ПО, в минувшем году возросло незначительно (на 10%).
Самым распространенным форматом упаковки вредоносного ПО стали архивы (на ZIP-архивы пришлось 20% изученных специалистами вредоносных файлов), также популярностью среди злоумышленников продолжают пользоваться файлы с расширением .exe (число таких файлов составило 12% от проанализированных вредоносных объектов).
По данным CERT-GIB, соотношение фишинговых ресурсов, использующих безопасное соединение (SSL/TLS) к общему количеству фишинговых сайтов показывает, что злоумышленники все чаще эксплуатируют ложное чувство защищенности у пользователей, делающих ставку на HTTPS. Согласно статистике, в 4 квартале 2018 года почти половина всех фишинговых ресурсов использует именно «безопасное соединение».
«Пользователям не стоит полагаться на тип соединения используемый сайтом в качестве критерия его безопасности. Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. Сегодня в онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно», — отметил заместитель руководителя CERT-GIB Ярослав Каргалев.