Мошенники стали чаще подделывать сайт Банка России в 2023 году

Фейковые сайты могут использоваться для фишинга, целевых атак на компании и вымогательства
Андрей Гордеев / Ведомости
Андрей Гордеев / Ведомости

За октябрь - декабрь 2023 г. было зарегистрировано 15 доменных имен, использующих в своих названиях на кириллице и латинице различные вариации и аббревиатуры, созвучные с Банком России, обнаружили «Ведомости» в системе «СПАРК-Интерфакс». Мониторинг и проверка по открытым источникам показали, что все ресурсы зарегистрированы через компанию Timeweb, а в качестве компании-заявителя указана Central'ny'j bank rossijskoj federacii. Например, среди них были onlinecbrf.ru, cbrfsupports.ru, cbinform.ru, «цбр-ру.рф», «цбинформ.рф» и проч.

За весь 2023 г. зарегистрировано как минимум 76 доменных имен, использующих в своих названиях созвучные с Банком России слова, говорит представитель компании по информационной безопасности F.A.C.C.T. (бывшая Group-IB). По его словам, активный рост их количества пришелся на вторую половину года.

Банк России не регистрировал новых доменных имен, говорит его представитель: единственным официальным сайтом регулятора является cbr.ru. В декабре 2023 г. специальное подразделение регулятора ФинЦЕРТ выявило несколько интернет-ресурсов, копирующих официальный сайт ЦБ, и инициировало их блокировку, отмечает представитель Банка России: на 10 января ресурсы onlinecbrf.ru и cbrfsupports.ru уже заблокированы, а в отношении «цбинформ.рф» инициированы меры по снятию с делегирования доменного имени.

Создавая подобные сайты, мошенники могут преследовать самые разные цели, говорит представитель F.A.C.C.T.: это фишинг, целевые атаки на компании, вымогательство денежных средств, саботаж работы банков и организаций, кража персональных и платежных данных граждан. Имея созвучное с ЦБ доменное имя, можно создать почту для рассылки фишинговых сообщений якобы от лица регулятора с целью атаки на компании и банки, поясняет собеседник. В таком письме будет ссылка на фейковый сайт и просьба ознакомиться с новым документом или распоряжением. При переходе на поддельный ресурс на компьютер пользователя незаметно для него устанавливается вредоносное программное обеспечение – шпионская программа, банковский троян, шифровальщик и проч., поясняет представитель F.A.C.C.T.

Регистраторы доменных имен не вправе запрещать создавать адреса, схожие с названиями существующих компаний и организаций, объясняет руководитель отдела доменов и сопутствующих сервисов объединенной компании Рег.ру и Ru-Center Марина Брик. Как налоговая не может ограничить гражданина в праве создать и зарегистрировать в ЕГРЮЛ юридическое лицо с наименованием чужого бренда, приводит пример она. Поэтому ответственность за выбор доменного имени для регистрации лежит целиком и полностью на лице, подавшем заявку и ставшим администратором домена, говорит Брик.

Из-за огромного количества регистрируемых ежедневно доменов регистраторы не проверяют документы сразу после регистрации, отмечает руководитель департамента Digital Risk Protection F.A.C.C.T. Станислав Гончаров. Они помечаются как unverified, т. е. указывается, что данные администратора документально не подтверждены, поясняет он. При этом у отечественных регистраторов существует процедура проверки всех документов, после которой регистрация домена может быть аннулирована или подтверждена с присвоением статуса verified, продолжает Гончаров.

Примеры доменных имен, регистрируемых злоумышленниками на чужие данные, может найти у себя любой крупный игрок на рынке, в том числе Timeweb, говорит Брик. Для зон .ru/.рф существует строго установленная процедура по их выявлению, добавляет она: есть компетентные организации, которые действуют по соглашению с Координационным центром доменов .ru/.рф (в их числе крупнейшие игроки рынка кибербезопасности и госрегуляторы, включая ЦБ). Они сообщают регистраторам через специальную систему взаимодействия о подозрении в использовании домена для фишинга или размещения иного негативного контента в интернете, рассказывает эксперт.

По словам Брик, если сайт признан компетентной организацией фишинговым или есть обращения граждан о уже случившихся случаях мошенничества, регистратор имеет право заблокировать его. Кроме того, уже после регистрации правообладатель вправе обратиться в суд за защитой своего нарушенного права, отмечает эксперт.

Также мошеннические ресурсы выявляются и блокируются Роскомнадзором, напоминает руководитель исследовательской группы отдела аналитики информационной безопасности компании Positive Technologies Ирина Зиновкина. Эта федеральная служба проверяет веб-страницы на отсутствие мошеннической активности и, в целом, на соответствие распространяемого контента законодательству, говорит она.

Решением подобных проблем может стать верификация администраторов доменов через связь с их аккаунтом на портале «Госуслуг», говорит Брик. Ru-Center несколько лет назад совместно с Координационным центром доменов .ru/.рф вышел с такой инициативой, напоминает она. По словам Брик, в ближайшее время правительственная комиссия должна одобрить тестирование этого функционала. Если тестирование будет успешным, можно ожидать распространения данной практики на всю отрасль, заключает она.

Уточнение. После публикации материала представитель компании Timeweb сообщил, что провайдер хостинга не имеет ничего общего с мошенниками, а только оказывает услуги по регистрации доменных имен. По его словам, название сайта (доменное имя) создается самим пользователем, и, если такое название не занято, оно может быть использовано. Контент на сайте также создается пользователем. У самого регистратора доменного имени отсутствует обязанность по проверке совпадения символьного обозначения доменного имени с товарным знаком либо иным наименованием действующего юридического лица и государственного органа, за исключением совпадения с уже зарегистрированными доменными именами или включенными в стоп-лист, отметил представитель Timeweb. Кроме того, так как система регистрации использует автоматизированные средства обработки заявок, регистратор не имеет технической возможности осуществлять сплошную проверку выбранных пользователями доменных имен, указал он. В текущий момент указанные в материале домены заблокированы на основании обращений компетентных организаций, заверил представитель компании.