Об отчете
Отчет составлен на основе данных DRP-сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар». Аналитика базируется на результатах мониторинга публичных и закрытых сегментов интернета по клиентам и пилотным проектам центра Solar AURA:
- 1,2 млн+ доменных имен и выданных SSL-сертификатов (пул источников динамически обновляется каждые сутки);
- более 2500 Telegram-каналов противоправной тематики и даркнет-форумов;
- 50 млн DNS-запросов в сутки.
Отчетный период включает январь – декабрь 2024 года.
О сервисе Solar AURA
Сервис Solar AURA включает восемь модулей, которые могут подключаться отдельно или в комплексе:
- «Антифишинг» — обеспечивает полный цикл противодействия фишингу: от выявления доменных имен и интернет-ресурсов, которые могут быть использованы в противоправных действиях в отношении заказчика или от его имени, и до реализации комплекса мер по оперативной блокировке подобных ресурсов.
- «Утечки» — помогает оперативно выявлять факты компрометации чувствительной для компании информации в публичных источниках.
- «Даркнет» — помогает оперативно выявлять в даркнете и на иных ресурсах признаки угроз, нацеленных на компанию, таких как случаи публикации в Сети документов ограниченного доступа, баз данных, сведений о скомпрометированных аккаунтах, а также различного рода нелегальных услугах и готовящихся кибератаках.
- «Бренд компании» — выявляет широкий перечень нарушений, затрагивающих бренд компании: от фейковых страниц в соцсетях и мессенджерах до мобильных приложений, использующих название и логотип организации или ее продукты.
- «Личный бренд» — отслеживает появление фейковых личных аккаунтов в соцсетях, случаи компрометации личных и корпоративных учетных данных, оценивает информационный фон вокруг персоналий компании, фиксирует появление негативных или компрометирующих публикаций.
- «Медиаполе» — выявляет в открытом доступе публикации, способные негативно повлиять на информационную или экономическую безопасность компании, в частности сведения об используемых средствах защиты информации, регламентах работы, особенностях ИТ-инфраструктуры и т. п.
- «Безопасность финансов» — обнаруживает факты использования интернет-эквайринга банка для оплаты запрещенных в РФ услуг; собирает сведения о банковских картах, используемых при отмывании или обналичивании нелегальных денег; мониторит сайты с интернет-эквайрингом защищаемого банка на соответствие заявленному виду деятельности; предоставляет сведения для проверки контрагентов.
- «Мониторинг периметра» — сканирует корпоративные сервисы на наличие уязвимостей; ищет новые опубликованные в интернете ИТ-активы компании; контролирует контент сайта на предмет нелегитимных изменений.
Утечки данных
Утечки продолжают оставаться одной из ключевых угроз для российских компаний. С января по декабрь 2024 года сервис Solar AURA зафиксировал 986 инцидентов - сообщений об утечках, включая случаи публикации баз данных российских компаний и сервисов. В результате успешной атаки базы данных попали в открытый доступ в 479 случаях – это на 43% больше, чем за весь 2023 год.
В 2024 году хакеры опубликовали 1.4 млрд строк данных. В 2023 году в сеть было выложено 4,9 млрд строк данных, однако из них 4 млрд строк относятся к одному единственному инциденту и содержат преимущественно техническую информацию. Если исключить этот инцидент, то всего за 2023 год в открытый доступ попало 865 млн строк данных. Это означает, что фактический прирост год к году составил 64%.
Общий объем выложенной в общий доступ информации в 2024 году превысил 20 терабайт, причем пик пришелся на 4 квартал 2024 года. В размещенных базах данных содержалось 89 млн адресов электронной почты (-38% год к году) и 240 млн номеров телефонов (+7% год к году).
И если количество телефонов превышает показатели 2023 года, то количество email, попавших в открытый доступ, существенно снизилось. Это связано, в частности, и с тем, что в последние годы телефоны все чаще используются для авторизации в различных сервисах, а электронная почта несколько сдает свои позиции.
Российские утечки по месяцам: строки, e-mail, номера телефонов (млн)
Строки
Почты
Телефоны
Распределение утечек по отраслям (млн строк данных)
Лидером по количеству утекших строк в 2024 году стал финансовый сектор, который традиционно является привлекательной отраслью для злоумышленников любого уровня. На отрасль пришлось 39 инцидентов, в результате которых в сеть попало более 410 млн строк данных. Однако по числу инцидентов финансы 10-е место, отставая от лидера (ритейла) в 7 раз.
Более 25% инцидентов из финотрасли в 2024 году приходились на микрофинансовые организации. В среднем в ходе каждого подобного случая в сеть попадало не менее 10 млн строк данных.
Неприятным сюрпризом стало попадание на вторую строку рейтинга госсектора, причем больше всего строк из организаций данной отрасли попало в открытый доступ в конце декабря 2024 года в результате нескольких инцидентов.
На третьем месте расположился ритейл – 267 инцидентов, по итогам которых было опубликовано 254 млн строк. Это связано с тем, что электронная коммерция занимает значительную долю интернет-рынка, а небольшие сетевые магазины не всегда могут похвастаться высоким уровнем обеспечения информационной безопасности. Замыкают ТОП-5 сфера услуг (130 инцидентов, 106 млн строк), что тоже вполне традиционно, и страхование (6 инцидентов, 94 млн строк).
Фишинг
В 2024 году количество фишинговых сайтов, выявленных и заблокированных сервисом Solar AURA, выросло в 2,3 раза в сравнении с 2023 годом.
Большую часть обнаруженных фишинговых ресурсов составили фейковые сайты маркетплейсов, формы входа различных госорганизаций, а также сайты, предназначенные для кражи аккаунтов Telegram.
Отличительной чертой фишинга в 2024 году стало широкое использование защиты от обнаружения, а также доменов, не имеющих смысловой связки с брендом, под который мимикрирует сайт.
Число фишинговых ресурсов, располагающихся на доменах 3-го и 4-го уровней, впервые превысило количество фишинга на доменах 2-го уровня. Это связано, в частности, с широкой популярностью «фишинговых комбайнов» - нелегальных онлайн-сервисов, которые позволяют генерировать множество фишинговых страниц под различные бренды.
Отдельно отметим, что злоумышленники по-прежнему используют различные средства от обнаружения фейковых ресурсов. Также наблюдается тренд создания доменов, не имеющих смысловой связки с брендом, под который мимикрирует фейковый сайт.
Соотношение доменов фишинговых ресурсов в 2024 году
Распределение доменных зон в зависимости от уровня домена
Количество атак за месяц в 2022 году, тыс. шт.
Количество атак за месяц в 2023 году, тыс. шт.
Количество атак за месяц в 2024 году, тыс. шт.
Подобные тенденции делают выявление фишинговых сайтов традиционными методами (например, путем поиска похожих доменов) все менее эффективными.
Антидроп
В 2024 году Solar AURA существенно расширил функционал модуля «Эквайринг». Помимо выявления случаев использования интернет-эквайринга для оплаты различного рода нелегальных активностей, теперь сервис фиксирует и случаи использования банковских карт, электронных кошельков, а также номеров телефона, привязанных к СБП для приема нелегальных платежей в рамках скам-проектов, онлайн-казино и так далее.
За 12 месяцев 2024 года база записей подобных случаев, связанных с нелегальными платежами, увеличилась на 65 тысяч 748 – это в 12 раз больше, чем в аналогичном периоде 2023 года. Всего же на данный момент сервис зафиксировал уже более 107 тысяч случаев использования банковских карт и счетов, задействованных в различного рода околокриминальных схемах.
Юридические лица
Solar AURA собирает сведения о компаниях, выставленных или выставлявшихся на продажу на черном рынке. В настоящий момент база насчитывает 8 тыс. подобных организаций. Из них 1,5 тыс. были обнаружены в 2024 году – в среднем это четыре компании в день.
Такие компании мошенники приобретают в даркнете для проведения нелегальных операций – фейкового партнерства,
обналичивания и отмывания средств и т.д. Опасность таких компаний заключается в том, что при внешней
благонадежности, например, отличных финансовых и иных показателях, взаимодействие с ними несет серьезные риски для
бизнеса.
Выводы
- Утечки все еще остаются серьезной угрозой для российских компаний – число публикаций баз данных организаций в 2024 году выросло на 43% в сравнении с 2023 годом;
- Снизилось число утекших е-mail – это связано с тем, что россияне все чаще используют для авторизации в различных сервисах номера телефонов вместо электронной почты;
- Количество фишинговых сайтов, выявленных сервисом, в сравнении с 2023 годом выросло в 2,3 раза, а большая часть пришлась на фейковые сайты маркетплейсов, сайты госуслуг и ресурсы для кражи аккаунтов Telegram;
- Трендом 2024 года среди фишинга стали «фишинговые комбайны» - нелегальные онлайн-сервисы, которые позволяют генерировать множество фишинговых страниц под различные бренды.
Скачать отчет
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.