Согласно исследованию организации Anti–Phishing Working Group, число киберсквотинговых доменных имен, используемых для фишинга, значительно сократилось и сегодня составляет всего 2% от общего числа атак.
В недавно выпущенном отчете «Global Phishing Survey: Trends and Domain Name Use in 1H2012», подводящем итоги первого полугодия 2012 года, указывается 64204 отмеченных фишинговых домена. Из них только 7712 (12%) были действительно зарегистрированы фишерами. Остальные домены принадлежат третьей стороне, никак не связанной с кибермошенниками, однако они были скомпрометированы.
Это намного меньше по сравнению с 12895 доменами, зафиксированными во второй половине 2011, и 14650 в первом полугодии минувшего года.
Из 7712 принадлежащих фишерам доменов около 66% использовались для фишинга веб-пользователей в Китае, отмечают исследователи. Группа обнаружила только 1350 имен, которые содержат названия торговых марок или же названия брендов с умышленно искаженным написанием.
Это почти в два раза меньше по сравнению с цифрой в 2232 доменными именами во второй половине 2011, и составляет лишь 2% от всех доменных имен и 17% от доменов, принадлежащих фишерам.
В отчете сообщается, что большинство злонамеренно зарегистрированных доменных строк не содержат ничего подозрительного, то есть такого, что могло бы сбить с толку потенциальную жертву. Размещение торговых марок или их вариаций в доменном имени не является излюбленной тактикой, поскольку владельцы брендов постоянно осуществляют проактивное сканирование интернет-зон с целью нахождения таких имен. Впрочем, если оглянуться в прошлое, то доменные имена сами по себе никогда не играли особой роли для фишеров, поскольку они могли использовать домен с любым значением.
Вместо этого фишеры применяли другую тактику. Они размещали названия торговых марок в субдоменах или субкаталогах. Это вело к обманной строке где-то в пределах URL, где потенциальная жертва могла их увидеть и «попасться на крючок». Интернет-пользователи редко осведомлены настолько, чтобы различать «базовое» или настоящее доменное имя, используемое в URL.
Кроме того, 2410 атак были детектированы на 1864 уникальных IP-адресах, а не на доменных именах. Например, http://79.173.233.18/paypal/. Число атак, использующих IPадреса, остаются относительно неизменным в течение последних двух лет. При этом фишеры пока что не используют IPv6-адреса.
Принимая во внимание процент атак в целом, можно сделать вывод, что «хищение» брендов применяется кибермошенниками довольно редко.
Доменнная зона с бесплатной регистрацией .tk от Freedom Registry чаще всего применялась для регистрации доменов, используемых для фишинговых атак. В этой зоне находится свыше половины доменов, принадлежащих фишерам.
Базовая статистика по атакам, доменам и фишинговым доменам
Время «жизни» фишинговых сайтов
Среднее время работы фишинговых сайтов по зонам
Все фишинговы атаки по доменам верхнего уровня
Вредоносные домены по доменным зонам