Новый вид товара начал продаваться в даркнете — доступ к платформе, позволяющей под ключ осуществлять фишинговую рассылку, сообщили в компаниях по кибербезопасности. В пакет входит всё — от создания и редактирования шаблонов писем до управления настройками почтового аккаунта и проверки на попадание писем в спам. Такой инструмент позволяет злоумышленникам кратно увеличивать объем и интенсивность кампаний, предупреждают эксперты. О том, стоит ли ожидать всплеска фишинговой активности в связи с автоматизацией инфраструктуры, — в материале «Известий».
Как работает платформа фишинговых рассылок
На теневом форуме начали продавать доступ к веб-платформе для фишинговых рассылок под ключ, рассказали «Известиям» специалисты BI.ZONE Threat Intelligence. Инструмент предлагает услугу «полного цикла»: от создания и редактирования шаблонов писем до управления настройками почтового аккаунта и проверки на попадание писем в спам. Значимая часть функционала связана с обходом защитных механизмов, блокирующих фишинговые письма на ранних этапах.
Создатели платформы заявляют, что темы и содержание писем проверяются на спам-признаки, а тексты, содержащие вредоносные ссылки, проходят тестовую отправку на контрольные ящики. Для управления рассылками и повышения вероятности попадания писем во входящие злоумышленники используют искусственный интеллект.
Таким образом фишинговые рассылки превращаются в сервисный процесс, где оператору не требуется погружаться в технические детали, а управлять кампаниями по рассылке можно «одной кнопкой».
— Фишинг был и остается самым популярным методом получения первоначального доступа, — отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин. — С него начинается 64% атак на российские компании. Такие платформы автоматизации делают угрозу еще более массовой, позволяя злоумышленникам кратно увеличивать объем и интенсивность кампаний.
Стоимость доступа к платформе составляет $450 за месяц, $1,2 тыс. за три месяца и $2,2 тыс. за полгода.
Существование такого механизма подтвердили и в других компаниях по кибербезопасности. По словам аналитика исследовательской группы Positive Technologies Cyber Analytics Валерии Бесединой, один из основных элементов такой инфраструктуры — это административные панели (интерфейс для управления функциями и контентом сайта или веб-сервиса): доля объявлений об их продаже составляет 18%. Готовые инструменты используют для сбора учетных данных, мониторинга жертв, управления шаблонами и работы с данными о статистике совершенных атак.
— Также применяются различные механизмы обхода обнаружения: функции антибот-защиты и механизмы обнаружения попыток анализа, — рассказала эксперт. — Широко распространены и объявления по обходу двухфакторной аутентификации — 13%. В отдельных решениях предусматривается адаптация фишинговых страниц под определенные страны и имитация конкретных банков или сервисов — таким сайтам жертвы доверяют больше.
«Известия» направили запрос в Роскомнадзор с просьбой рассказать, как проводится борьба с ресурсами в даркнете и будет ли заблокирована эта платформа. В ведомстве порекомендовали обратиться в МВД — редакция направила запрос.
Какие еще инструменты продаются
Подобные инструменты значительно снижают порог входа на нелегальный рынок, так как вредоносные письма смогут создавать даже начинающие преступники с очень низкой квалификацией, добавил Олег Скулкин.
— В 2025 году злоумышленники в три раза чаще, чем годом ранее, рассылали фишинговые письма, — сказал он.
Услуги фишинга могут предлагаться как пакетом под ключ, так и по отдельности, например в качестве помощи в разработке сайта или рассылке писем, рассказала аналитик Kaspersky Digital Footprint Intelligence Александра Федосимова.
— Стоимость зависит от наполнения и сильно варьируется: за последний год расценки, указанные авторами объявлений, доходили до $7 тыс. за пакет услуг, — сказала она. — Cybercrime-as-a-Service позволяет злоумышленникам вести бизнес, предлагая в качестве товара свои знания и опыт.
По словам эксперта, злоумышленники стали более склонны создавать многопрофильные сервисы, предлагая сразу много услуг, что позволяет им иметь стабильный доход в виде постоянных клиентов.
Концепция сервисной модели киберпреступности популярна, заявил директор по развитию центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско.
— Еще в середине 2010-х можно было приобрести доступ к платформе, позволяющей похищать деньги с банковских счетов граждан при помощи троянов, — напомнил он.
Платформы под ключ для фишинга активно распространяются через закрытые сообщества и мессенджеры вроде Telegram, отметила эксперт по кибербезопасности в «Лаборатории Касперского» Ольга Алтухова.
— Отдельную роль здесь действительно играет искусственный интеллект, — сказала Ольга Алтухова. — Например, с помощью ИИ-инструментов фишеры могут генерировать поддельные веб-ресурсы. В арсенале злоумышленников появились конструкторы сайтов на основе искусственного интеллекта, позволяющие автоматически копировать дизайн легитимных сайтов, генерировать адаптивные интерфейсы и формы ввода учетных данных.
Также активно продаются наборы для рассылок (spam-as-a-service), панели управления ботнетами, готовые наборы вредоносного ПО, сервисы по аренде прокси и инфраструктуры, а также доступы к уже скомпрометированным аккаунтам и корпоративным сетям, рассказал проджект-менеджер MD Audit Кирилл Левкин.
— Также появились сервисы проверки «доставляемости» писем и эмуляции поведения реальных пользователей, — сказал он.
По мнению эксперта, автоматизация и доступность фишинговых инструментов приводят к росту числа атак и снижению их стоимости.
— Теперь запуск кампании требует меньше ресурсов, а значит, атак становится больше, — отметил он. — Главная опасность заключена в сочетании массовости и персонализации. Раньше фишинг был либо массовым, либо точечным, теперь эти модели объединяются. Пользователи и компании будут чаще сталкиваться с атаками, которые сложнее отличить от легитимных коммуникаций.
Как ИИ помогает преступникам
ИИ позволяет создавать реалистичные и убедительные письма, анализировать большие массивы данных и адаптировать атаки под конкретную компанию или человека, а также быстро анализировать и масштабировать эффективные сценарии, полагает аналитик данных Координационного центра доменов .RU/.РФ Евгений Панков.
— Отдельный тренд — создание и использование аудио- и видеодипфейков. Уже достаточно короткой записи, чтобы сгенерировать правдоподобный звонок или видео от имени знакомого или коллеги, — добавил он. — Поэтому к звонкам с незнакомых номеров стоит относиться максимально осторожно, а лучше вообще не отвечать на такие вызовы. В целом симбиоз технологий и манипуляций делают атаки всё более точными и увеличивают ущерб от них.
При этом классический фишинг уступает место более сложным схемам, отметил эксперт. Атаки становятся многоступенчатыми — с элементами социальной инженерии, QR-кодами, вредоносными вложениями и ссылками на динамически подменяемые страницы. При этом электронная почта перестает быть единственной «точкой входа»: фишинг активно уходит в мессенджеры и социальные сети, где пользователи менее насторожены и активнее реагируют на сообщения.
По словам Евгения Панкова, сегодня среднее время блокировки фишинговых ресурсов в рунете составляет около пяти часов. Кроме того, с 1 сентября вводится обязательная идентификация администраторов доменов через ЕСИА, что должно усложнить регистрацию фишинговых доменов и повысить общий уровень безопасности национальных доменных зон.
