Журнал "Information Security/ Информационная безопасность" #1, 2026

Решение. Для противодействия этой схеме специалисты BI.ZONE разработа- ли алгоритм автоматического поиска фишинговых ссылок. Он анализировал характерные признаки таких URL и поз- волял выявлять целые серии мошенни- ческих страниц, созданных в рамках одной кампании. Обнаруженные ссылки сразу передавались на блокировку. Результат. Благодаря автоматизации удалось существенно сократить время между появлением фишинговых ресур- сов и их блокировкой. Во многих случаях атаки удавалось обнаружить еще до того, как пользователи начинали массо- во обращаться в банк. Это позволило снизить финансовые потери и нагрузку на службы поддержки. Кейс 3. Фейковые акции и сторонние сайты Еще одна ситуация связана с крупной ретейл-компанией. Бренды с высокой узнаваемостью регулярно становятся объектом злоупотреблений со стороны мошенников, особенно в периоды актив- ных маркетинговых кампаний, распро- даж и сезонных акций. В такие моменты пользователи ожидают выгодных пред- ложений и чаще переходят по ссылкам, связанным с акциями, что повышает эффективность подобных атак. Ситуация. Злоумышленники создава- ли сторонние сайты, имитирующие стра- ницы с акциями и специальными пред- ложениями ретейл-компании. Такие ресурсы копировали элементы фирмен- ного стиля, структуру страниц и тексты рекламных кампаний, из-за чего поль- зователи воспринимали их как офици- альные. Переходя на такие сайты, клиенты могли оставлять личные данные, уча- ствовать в фиктивных розыгрышах или совершать покупки, не получая обещан- ных товаров. При этом пользователи ассоциировали мошеннические ресурсы именно с брендом компании. В резуль- тате возрастало количество негативных отзывов и обращений в поддержку, сни- жалось доверие со стороны клиентов, а часть из них начинала уходить к кон- курентам. Решение. Для выявления подобных ресурсов специалисты BI.ZONE анали- зировали доменные имена и структуру URL, содержащие упоминания бренда или связанные с текущими маркетинго- выми кампаниями. Дополнительно учи- тывался контекст распространения – например, появление ссылок в рекламе, социальных сетях и других публичных источниках. Это позволяло быстро обна- руживать новые мошеннические домены и инициировать их блокировку. Результат. В ходе работы было выявлено и отправлено на блокировку более тысячи сайтов, использующих бренд компании для проведения мошеннических акций. Благодаря этому пользователи стали значительно реже сталкиваться с фейковыми ресур- сами, снизился отток клиентов и сокра- тились репутационные риски для ком- пании. Кейс 4. Атаки на пользователя с использованием бренда Среди наших клиентов есть крупная E-Commerce-площадка. Подобные ком- пании регулярно становятся целями фишинговых атак из-за большого объе- ма онлайн-операций и высокой узна- ваемости бренда. Для злоумышленников такие сервисы привлекательны тем, что пользователи привыкли совершать на них финансовые операции и реже сомне- ваются в подлинности интерфейсов и уведомлений. Ситуация. Мошенники создавали сайты, визуально имитирующие отдель- ные элементы сервиса: страницы опла- ты, авторизации или подтверждения заказа. Такие ресурсы распространялись через ссылки в мессенджерах, социаль- ных сетях и на сторонних площадках. Переходя на них, пользователи вводили данные банковских карт или учетных записей, которые затем использовались злоумышленниками для хищения средств. По мере распространения подобных схем число успешных атак начало расти. В службу поддержки площадки поступа- ло все больше обращений от пользова- телей, столкнувшихся с мошенниче- ством, а на специалистов по реагирова- нию легла дополнительная нагрузка. Одновременно снижалось доверие кли- ентов к платформе, поскольку они ассо- циировали инциденты с ее брендом. Решение. Для противодействия таким атакам была выстроена системная рабо- та по поиску и отслеживанию мошенни- ческих ресурсов. Специалисты BI.ZONE наладили постоянный мониторинг доме- нов и страниц, использующих элементы бренда и интерфейса площадки, а также ускорили процессы передачи таких ресурсов на блокировку. Результат. В результате удалось суще- ственно сократить как количество фишинговых ресурсов, так и медианное время их существования. Если ранее мошеннические домены могли работать несколько дней, то теперь их жизненный цикл составляет менее суток, а в боль- шинстве случаев – всего несколько часов. Это позволило снизить число успешных атак на пользователей и уменьшить нагрузку на службу поддерж- ки и команды реагирования. Кейс 5. Утечки данных в публичных репозиториях Еще один случай был связан с пуб- личным репозиторием клиента. Откры- тые репозитории на площадках вроде GitHub или Postman все чаще становятся источником утечек учетных данных. При- чиной обычно становятся ошибки кон- фигурации, публикация служебных фай- лов вместе с кодом или неосторожные действия разработчиков, когда в репо- зитории попадают ключи доступа, токены или пароли. Ситуация. В ходе мониторинга откры- тых репозиториев специалисты BI.ZONE обнаружили публичную страницу, на которой были размещены действующие учетные данные для авторизации во внутреннем сервисе компании. Такие данные могли использоваться для досту- па к рабочей инфраструктуре. Опасность заключалась в том, что злоумышленники регулярно сканируют публичные репозитории в поисках подоб- ных данных. Найденные учетные записи могли быть использованы для проник- новения во внутренние системы компа- нии, дальнейшего закрепления в инфра- структуре или кражи конфиденциальной информации. Решение. Обнаруженная информация была оперативно передана компании для проверки. После подтверждения актуальности учетных данных органи- зация немедленно отозвала доступы и провела необходимые действия по их замене. Результат. Благодаря своевременному обнаружению утечки удалось предотвра- тить возможную компрометацию внут- ренних систем и избежать потенциаль- ного ущерба для компании. Этот случай показал, насколько важно регулярно мониторить публичные источники на предмет случайно опубликованных дан- ных. Итог Организации из различных отраслей ежедневно сталкиваются с подобными ситуациями. Во всех приведенных кей- сах атаки начинались за пределами корпоративной инфраструктуры – в доменных зонах, социальных сетях, публичных сервисах или открытых репо- зиториях. Поэтому традиционные сред- ства защиты, ориентированные на внут- ренний периметр компании, часто не способны своевременно обнаружить такие угрозы. При этом последствия подобных атак могут быть вполне ощу- тимыми: финансовые потери клиентов, рост числа инцидентов, дополнительная нагрузка на службы поддержки и реа- гирования, а также репутационный ущерб для бренда. Мониторинг внешнего цифрового про- странства требует значительных техни- ческих и аналитических ресурсов: необходимо отслеживать регистрацию доменов, появление фишинговых стра- ниц, мошенническую активность в соци- альных сетях и публикации в открытых источниках. Решения класса Digital Risk Protection (DRP) позволяют системати- зировать эту работу, автоматизировать поиск угроз и интегрировать мониторинг внешнего периметра в повседневную деятельность команд безопасности и управления рисками. l • 29 DRP www.itsec.ru Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjcoUqi8