APWG: в минувшем полугодии на фишинговой арене доминировала Avalanche

Во второй половине 2009 года Антифишинговая рабочая группа (APWG) зафиксировала около 127 тыс. уникальных фишинговых страниц [PDF 1,26 Мб]
— вдвое больше, чем в первом полугодии. 66% из них были созданы криминальной группировкой Avalanche.

По данным APWG, для проведения кибератак в отчетный период фишеры совокупно задействовали 28,8 тыс. доменов второго и третьего уровня, привязанных к 173 TLD-зонам. Около 6,4 тыс. доменных имен были зарегистрированы непосредственно с целью фишинга, причем две трети из них зарегистрировала Avalanche. В целом добровольцы из APWG отмечают, что последние два с половиной года число доменов и IP-адресов, используемых фишерами, остается практически неизменным.

Что касается доменов верхнего уровня, предпочтения фишеров ограничиваются пятью зонами. Согласно статистике APWG, 88% поддельных веб-страниц, обнаруженных во втором полугодии, были размещены в зонах .com, .eu, .net, .uk и .be. При этом Avalanche активно использует все пять доменных зон, отдавая предпочтение .eu, а прочих фишеров, в основном, привлекает обширное адресное пространство .com.

По оценке APWG, время жизни фишинговых доменов за год уменьшилось на треть. В отчетный период домены, используемые фишерами, в среднем сохраняли активность 31 час 38 минут. По-видимому, борцы с фишингом и соответствующие службы атакуемых организаций научились быстро определять и блокировать криминальные веб-сайты. Тем не менее, их внимание ограничивается, в основном, деятельностью Avalanche, получившей широкую огласку: время жизни доменов этой группировки вполовину меньше тех, что используются другими фишерами. Во второй половине 2009 года домены, не принадлежащие Avalanche, оставались онлайн даже дольше, чем в первом полугодии.

Чтобы продлить время жизни своих ловушек, фишеры прибегают к услугам легальных сервисов — бесплатных веб-хостингов, неразбочивых регистраторов, сервисов коротких ссылок, служб регистрации поддоменов. Во втором полугодии APWG обнаружила свыше 6,7 тыс. поддоменов, которые использовались для проведения фишинговых атак. Мировым лидером по числу фишинговых страниц на поддоменах по-прежнему является Pochta.ru, на 17 доменах которой было размещено 509 уникальных страниц, созданных фишерами. Третье место в мировом рейтинге занимает провайдер NextMail.ru (302 фишинговых страницы).

Участники Avalanche, как уже говорилось, предпочитают держать собственные веб-сайты и для их оформления выискивают службы регистрации, которые не утруждают себя проверкой данных заявителя и закрывают глаза на злоупотребления во вверенном им адресном пространстве. На одном домене Avalanche обычно размещает около 40 уникальных страниц-ловушек, поэтому при всей массовости фишинговых атак, проводимых этой группировкой, ее домены составляют лишь 14% от общего числа тех, что используются для фишинга.

По данным APWG, во второй половине прошлого года Avalanche провела ряд успешных атак на клиентуру 40 банков и онлайн-сервисов. В середине ноября борцы с фишингом нанесли ощутимый удар по инфраструктуре ботнета Avalanche, и с тех пор количество атак, проводимых этой группировкой с каждого домена, значительно уменьшилось. К марту на доменах, зарегистрированных Avalanche, размещалось лишь по одной фишинговой странице. В апреле общее число ее страниц сократилось до 59.