«Яндекс» начал выявлять фишинговые сайты с помощью ИИ

Ежедневно российские интернет-пользователи совершают около 1,5 млн попыток перехода на фишинговые ресурсы, следует из статистики «Яндекс браузера», которой с «Ведомостями» поделился представитель подразделения «Браузер» «Яндекса». В 90% случаев это переходы с мобильного телефона – в том числе из мессенджеров, писем и приложений, уточнил он.

Собеседник рассказал, что с ноября 2023 г. «Яндекс» тестировал обнаружение фишинговых сайтов с помощью нейросети, которая проверяла сайты, прежде чем «пустить» на них пользователя. Алгоритмы анализировали дату создания ресурса, частоту посещений, сколько времени на нем проводили другие пользователи, выдавался ли сайт в поисковой выдаче или пользователь переходил на него по ссылке, например, из почты. «Например, у компании появляется новый одностраничный сайт, он создан несколько часов назад, зарегистрирован на частное лицо, а не на эту компанию, тогда алгоритмы могут принять его за фишинговый», – объяснил представитель «Яндекс браузера».

Если сайт был похож на фишинговый, браузер запускал дополнительную проверку. Таким образом почти за пять месяцев «Браузер» выявил более 400 000 мошеннических сайтов, говорит собеседник.

По его словам, нейросети учатся выявлять новые виды фишинга. В частности, отмечает представитель компании, в последнее время сайты стали все чаще имитировать пропавшие из магазинов приложения банков, платформы для работы с криптобиржами и дейтинговые сервисы. «Мошенники очень изобретательны. Мы находили мошеннические страницы, которые предлагали помощь пострадавшим от мошенничества в интернете», – уточнил представитель компании.

По словам руководителя BI.Zone Brand Protection Дмитрия Кирюшкина, на сегодняшний день одними из самых распространенных видов обмана являются мошенничество под предлогом быстрого заработка, а также сайтов, имитирующих онлайн-площадки для розыгрышей призов. Среди других распространенных схем обмана эксперт назвал угон доменов с последующим размещением на них сайтов с фишинговым контентом и мошенничество с площадками для размещения объявлений. Мошенники часто маскируют фишинговые сайты под страницы отечественных банков, компаний с большой выручкой, а также популярных работодателей, отмечает Кирюшкин.

Сайт признают фишинговым по совокупности особенностей, таких как наличие признаков подделки дизайна, попытки замаскировать ссылки, подозрительных элементов страниц и т. п., говорит заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков. Браузер может «перестраховываться» и признать сайт подозрительным из-за отсутствия SSL-сертификата, по причине свежезарегистрированного домена, использования уязвимых протоколов или фреймворков, добавляет он. С такого рода блокировками часто сталкиваются россияне, из-за того что браузер не может проверить SSL-сертификат некоторых российских сайтов, уточняет Пермяков. Чтобы избежать такой блокировки, владелец сайта должен установить отечественные сертификаты, напомнил эксперт.

«Браузер может блокировать часть сайтов, которые фишинговыми не являются, потому что на сайте есть уязвимости, которые фиксируются сканером, – поясняет руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet («Сейфнет») Игорь Бедеров. – Эти уязвимости могут быть использованы злоумышленниками для распространения через этот сайт различной вредоносной активности. При проверке системами такой ресурс может попасть в черный список просто как потенциально уязвимый».

Точность определения фишинговых сайтов «Яндекс браузером» составляет 99,9%, заверил представитель компании: «Алгоритмы находят в день более 1500 таких сайтов. Из них «нефишинговыми» в реальности оказываются один-два».

Общее количество фишинговых сайтов в 2023 г. выросло на 86% по сравнению с прошлым годом, говорит Кирюшкин. При этом за последние пять месяцев (с ноября 2023 г. по почти завершившийся март 2024-го) число таких ресурсов увеличилось на 24% по сравнению с предыдущими пятью месяцами, добавляет он. Например, в 2023 г. эксперты BI.Zone выявили почти 212 000 фишинговых сайтов, которые были направлены на кражу чувствительных данных, а за январь и февраль 2024 г. – почти 41 000.

Проблема фишинговых сайтов крайне актуальна, считает Пермяков. По его словам, в 2022 г. количество атак, связанных с использованием фишинговых технологий, выросло в мировом масштабе на 50% и в 2023 г. тенденция сохранилась. На начало 2024 г. выявляемость и блокируемость фишинговых ресурсов увеличилась в 3–5 раз, говорит Бедеров: в месяц Роскомнадзор блокирует 10 000–15 000 подобных сайтов. «Ведомости» направили запрос в службу.

Технология фильтрации фишинговых сайтов на основе ИИ используется и в Google Chrome, говорит Бедеров. Помимо того, браузеры рассчитывают на информацию из антифишинговых баз, таких как Google Safe Browsing или база APWG, отметил руководитель группы по защите от фишинга компании F.A.C.C.T. (бывшая Group IB) Иван Лебедев.

Проблема кроется в том, что с момента появления фишингового сайта до момента его попадания в такие базы проходит достаточно много времени и к моменту обнаружения его браузером будет уже поздно, сетует руководитель сервиса мониторинга внешних цифровых угроз Solar Aura ГК «Солар» Александр Вураско. К тому же есть некоторые специфические виды отраслевого фишинга, например фишинг от имени промышленных и производственных предприятий, которые вообще почти никогда не попадают в базы антифишинговых сообществ, уточняет он.