Фишеры ловко угоняют недавно выкупленные и заброшенные легальные домены

Фишеры ловко угоняют недавно выкупленные и заброшенные легальные домены

Фишеры ловко угоняют недавно выкупленные и заброшенные легальные домены

Киберпреступники стали чаще воровать доменные имена. Согласно статистике специалистов Group-IB, подобные атаки угрожают как минимум 30 500 доменов, расположенных на площадках популярных международных и российских хостинг-провайдеров.

Как правило, взломанные ресурсы злоумышленники используют в фишинговых атаках, рассылках вредоносных программ, а также для осуществления финансового мошенничества и заражения посетителей атакованных сайтов.

На киберпреступную схему эксперты CERT-GIB вышли осенью этого года, когда изучали многочисленные фишинговые сайты. В ходе анализа специалисты обратили внимание, что атакующие используют не взломанные и не новые ресурсы, а легитимные домены в зонах .RU, .SU и .РФ.

Как правило, такие домены принадлежали пользователям или организациям. Например, «медкнижка-тверь.рф» — появившийся весной домен, рекламирующий медицинские услуги, в августе уже был взломан. Злоумышленники разместили на сайте фейковое объявление о несуществующей акции.

Само собой, цель в таких случаях одна — выудить данные банковских карт пользователей. Сначала жертва спокойно отвечает на несложные вопросы, а потом её ненавязчиво просят указать реквизиты, чтобы подарить за опрос 2020 рублей.

По словам специалистов CERT-GIB, киберпреступники воспользовались тем, что у владельца истёк срок действия хостинг-аккаунта. После обнаружения опасный домен был заблокирован.

В общей сложности исследователи выявили несколько сотен похожих ресурсов, после чего стала ясна вся схема злоумышленников. Оказалось, что основными жертвами преступников стали владельцы доменных имён, которые не привязаны к хостинг-аккаунту.

Другими словами в группе риска находятся либо заброшенные, либо только недавно выкупленные домены. У атакующих при этом есть список таких доменов, а вся процедура перехвата составляет от 30 минут до нескольких часов.

Эксперты CERT-GIB даже разместили специальную приманку для злоумышленников — зарегистрировали специальное доменное имя. Прошло приблизительно несколько дней перед тем, как преступники обнаружили домен и «угнали» его.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru