Фишеры регистрируются на бесплатных веб-сервисах

Фишеры регистрируются на бесплатных веб-сервисах

Во второй половине 2010 года Антифишинговая рабочая группа (APWG) зарегистрировала свыше 67 тыс. фишинговых атак (уникальных веб-сайтов) — намного больше, чем в предыдущий отчетный период. 11% сайтов-ловушек были размещены в доменных зонах .tk (Токелау) или .co.cc (Южная Корея), регистрация в которых не требует оплаты.



В целом использование доменов второго уровня для создания фишинговых сайтов увеличилось на 42%, в результате время жизни последних возросло до рекордного уровня, передает securelist.com. Регистрация на уровне поддоменов ― достаточно распространенный сервис, который к тому же не имеет единой бизнес-модели и правил регулирования. Несмотря на то, что многие провайдеры поддоменов ведут записи WhoIs и исправно откликаются на жалобы, злоупотреблений в этом пространстве пока хватает, а заблокировать фишинговый ресурс ― большая проблема. 

Например, свыше 40% поддельных сайтов, обнаруженных в отчетный период, были привязаны к доменной зоне .co.cc, хотя соответствующий корейский сервис очень оперативно реагирует на абьюзы. Медианное время жизни фишинговых сайтов в этой зоне составляет около 60 часов при среднестатистическом показателе 15,5 часов. Однако если регистратор поддоменов всерьез берется за чистку, он вполне в состоянии решить проблему фишинга своими силами. Наглядный пример тому ― многострадальный российский сервис Pochta.ru: в прошлом году ему удалось сократить число фишинговых сайтов в своих сетях со 189 до 14.

В отчете APWG за второе полугодие впервые присутствует статистика, предоставленная Информационным центром интернет-инфраструктуры Китая (China Internet Network Information Center, CNNIC) и китайским Антифишинговым альянсом. Ранее информацию о деятельности фишеров в Китае собирали сторонние наблюдатели, которые, по оценке APWG, регистрировали лишь 20% фишинговых атак, проводимых на территории этой страны. С появлением данных из нового, более компетентного источника итоговые показатели по глобальному фишингу в некоторых категориях получились несколько неожиданными.

С уходом с фишинг-арены плодовитой группировки Avalanche общее число сайтов, создаваемых фишерами, стало неуклонно снижаться. Однако последние данные, опубликованные APWG, противоречат этой тенденции. Дело в том, объясняют активисты, что свыше 20% фишинговых сайтов, обнаруженных во втором полугодии, были созданы фишерами для обмана клиентов китайских веб-сервисов. Эта статистика появилась в отчете стараниями CNNIC. Главной мишенью фишеров в Китае является торговый сайт Taobao.com ― китайский аналог eBay.

Примечательно, что, атакуя китайцев, фишеры обходят стороной их национальный домен. С ужесточением правил регистрации в зоне .cn количество доменных имен в национальном реестре сократилось вчетверо, а злоумышленники откочевали в более доступные пространства. По данным CNNIC, фишеры, действующие на территории Китая, не увлекаются хакерством и предпочитают оформлять свои сетевые площадки легальным способом. Особенно активно они регистрируются в зонах .com, .tk, .info, .us, .in и .co.cc.

С учетом статистики, предоставленной китайскими исследователями, общее количество доменных имен, используемых фишерами, увеличилось в полтора раза и составило свыше 42,6 тысяч. 28% из них ― вновь намного больше обычного ― были зарегистрированы с целью фишинга, причем половина ― для хищения данных китайских пользователей. Все фишинговые сайты, обнаруженные в зоне .tk, оказались официально зарегистрированными; большинство из них использовались для проведения кибератак против китайских коммерсантов и финансовых организаций. 18% доменов, зарегистрированных фишерами, использовались для кражи идентификаторов к World of Warcraft и Battle.net.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Kaspersky Container Security 2.1 научилась проверять ноды оркестраторов

«Лаборатория Касперского» выпустила обновление для своего решения Kaspersky Container Security (версия 2.1). Теперь оно умеет проверять не только контейнеры, но и ноды оркестраторов — то есть хосты, на которых они работают.

Оркестраторы вроде Kubernetes управляют контейнерными приложениями, а их кластеры состоят из нод с собственной ОС.

Как и любая операционная система, они могут содержать уязвимости. Новая функция позволяет сканировать такие узлы, фиксировать найденные дыры и подозрительные процессы, а также вести постоянный мониторинг с помощью встроенного антивирусного модуля. При этом проверка запускается вручную, чтобы не нагружать систему.

В интерфейсе теперь отображаются детали по каждой ноде: версия ОС, дата последнего сканирования, количество и критичность уязвимостей, история запусков потенциально опасных процессов.

Обновление также расширило список поддерживаемых инструментов и платформ. В него вошли, в частности, интеграция с Google Cloud Platform, российскими системами оркестрации Deckhouse и «Штурвал», а также поддержка RedOS для работы нод.

Появилась возможность передавать данные о событиях через вебхуки. Это значит, что система сможет отправлять информацию в любые внешние сервисы, например в средства мониторинга или оповещения, даже если их интеграция напрямую пока не реализована.

Кроме того, компании теперь могут использовать не только встроенные базы угроз, но и подключать свои собственные через API. Это позволит проверять события сразу по нескольким источникам.

Таким образом, продукт получил новые инструменты для мониторинга и анализа контейнерных сред — в том числе на уровне узлов, которые раньше оставались за кадром.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru