Евгений Панков, Координационный центр доменов .RU/.РФ: С обращения до блокировки домена в российских зонах проходит 26 часов – это лучший показатель в мире

О том, с какими вызовами столкнулся Рунет сегодня и как защищают российские доменные зоны, порталу Cyber Media рассказал руководитель проектов Координационного центра доменов .RU/.РФ Евгений Панков.

Cyber Media: Евгений, какие угрозы обрушились на российские доменные зоны в последнее время? Как удалось стабилизировать ситуацию?

Евгений Панков: Последние два года для Рунета можно назвать одними из самых сложных. Все, кто связан с интернет-бизнесом и поддержанием работоспособности российского сегмента сети, столкнулись с большим количеством новых вызовов и проблем.

Весной 2022 года некоторые зарубежные хостеры и регистраторы, а затем и удостоверяющие центры (УЦ) начали отказываться от работы с российскими сайтами. Это потребовало срочного переноса их данных внутрь страны. После этого мы стали выдавать SSL-сертификаты попавшим под санкции российским компаниям. Параллельно начали разъяснять порядок установки сертификатов и работы с ними конечным пользователям, что оказалось сложнее всего.

Однако мы справились с этими проблемами. При Минцифры оперативно создали удостоверяющий центр и начали выдачу российских сертификатов. Вскоре заработали еще несколько отечественных УЦ. Некоторые пострадавшие смогли перенести домены к российским регистраторам, другие – зарегистрировали новые.

Кроме того, крупнейший удостоверяющий центр Verisign продолжил работу с российскими клиентами, хотя перестал обслуживать несколько крупных компаний из санкционного списка.

Мы сделали выводы из этих событий. И несмотря на то, что ситуация стабилизировалась, готовы к любому ее развитию. Уже полностью выстроили систему противодействия последствиям возможных отключений российских доменных зон – Национальную систему доменных имен (НСДИ). Теперь можно гарантировать, что российские домены продолжат работать при любом санкционном раскладе. И даже в случае исключения доменов .RU и .РФ из глобального корневого доменного пространства, НДСИ обеспечит доступ к сайтам на этих доменах для пользователей из России и дружественных стран.

Cyber Media: Во всем мире фиксируют взрывной рост фишинга. Однако российские зоны остаются одними из самых безопасных. Какие меры этому способствуют?

Евгений Панков: Безопасность российского доменного пространства всегда была одним из наших важнейших приоритетов и преимуществ, которые мы стараемся поддерживать для конечных пользователей и участников интернет-отрасли. Тем более она актуальна сейчас, когда с начала СВО Рунет стал объектом многочисленных атак. И фишинговых в том числе.

Объемы злоупотреблений с каждым годом растут. Так, за 9 месяцев 2023 года российские регистраторы обработали 36 652 обращения, на основании которых в зонах .RU и .РФ заблокировали 35 751 вредоносный домен (97,54%). При этом доля фишинговых кейсов среди обращений превышает 90%. Для сравнения: в прошлом году за этот же период обработали 9696 обращений и заблокировали 9022 домена.

Достичь успехов в борьбе с фишингом нам удается благодаря совмещению автоматизированных методов поиска вредоносных доменов и работы экспертного сообщества. В частности, еще в 2012 году мы создали институт компетентных организаций. В него вошли компании с экспертизой в ИБ и определении нарушений в Рунете. Сегодня 12 таких организаций собирают и анализируют информацию об интернет-ресурсах, которые используются для распространения вредоносного ПО, фишинга, управления бот-сетями и прочих нарушений. При обнаружении таких ресурсов они направляют запрос регистраторам и нам. Такой подход приводит к быстрому разделегированию вредоносного домена.

Компетентные организации и регистраторы взаимодействуют в рамках проекта «Доменный патруль». На сегодняшний день он остается одним из самых эффективных инструментов саморегулирования в борьбе с противоправными ресурсами.

При этом мы прогнозируем, что рост активности фишеров будет расти экспоненциально. Поэтому мы предпринимаем меры, позволяющие в корне переломить ситуацию. Одна из таких мер – готовящееся введение обязательной проверки паспортных данных администратора домена через ЕСИА (портал «Госуслуги»).

Сейчас паспортные данные уже вводятся. Но поскольку система регистрации использует автоматизированные средства обработки заявок, регистратор технически не может проводить сплошную проверку указанной информации. Это позволяет злоумышленникам регистрировать домены на поддельные или вымышленные данные. Так, собственно, и появляется большинство фишинговых доменов.

Cyber Media: Какие схемы фишинга сегодня используют злоумышленники? Какие из них особенно популярны в России?

Евгений Панков: Мошенники весьма изобретательны и постоянно придумывают новые сценарии, используют все возможные каналы коммуникации. Благодаря им они могут похитить средства с банковских карт, получить доступ к личным кабинетам в различных онлайн-сервисах или взломать аккаунт в соцсетях.

Помимо традиционного email-фишинга, когда рассылаются поддельные письма от лица популярных компаний и брендов, активны телефонный фишинг (voice phishing) с применением социальной инженерии и фишинг в мессенджерах. В переписках мошенники представляются сотрудниками банков или госорганов, чтобы стимулировать пользователя к переходу по ссылке, которую ему присылают. Сейчас также появилась схема, когда для повышения доверия мошенники предварительно звонят или отправляют сообщение от имени родственника или коллеги. Якобы знакомые люди сообщают, что жертве скоро поступит звонок и его нельзя игнорировать.

В «Авито», «Юла», Ozon и других маркетплейсах поддельные «продавцы» или «покупатели» уговаривают пользователей перейти в сторонние мессенджеры. Злоумышленники отправляют сгенерированную фишинговую ссылку – якобы для оплаты товара и доставки. Чтобы снизить бдительность пользователя к цифровой части домена, мошенники часто добавляют домен третьего уровня, который содержит название имитируемого сайта или сервиса. Например, youla.id-4007.ru или avito.id6990.ru. Как только пользователь переходит по фишинговой ссылке, он теряет деньги. Этот вид мошенничества относится к так называемому «сложному фишингу». В таких случаях используют доменное имя и поддельный контент, который генерируется по уникальной ссылке для конкретного пользователя в определенный промежуток времени.

Также активно эксплуатируются схемы, при которых мошенники убеждают пользователя установить мобильные приложения – от поддельных и зараженных троянами до легальных средств удаленного доступа на устройство.

Cyber Media: Есть информация, что скорость блокировки вредоносных доменов в России выше, чем в других странах. Правда ли это? И если да, то как удалось добиться такой скорости?

Евгений Панков: Да, действительно, мы смогли выстроить эффективную систему обнаружения и блокировки вредоносных доменов. Благодаря оперативной и слаженной работе компетентных организаций и регистраторов среднее время реагирования (с момента обращения до блокировки домена) в российских зонах составляет примерно 26 часов. Это лучший показатель в мире.

Кроме того, на сайте проекта «Доменный патруль» (доменныйпатруль.рф) указаны телефоны горячих линий МВД и компетентных организаций. Любой пользователь, который столкнулся с угрозой в сети, может просто и быстро передать информацию об этом ответственной организации. А еще на сайте можно найти свежие данные о распространении киберугроз, советы и инструкции по безопасности в интернете.

На высокую скорость реакции также влияет юридически совершенный процесс управления российскими доменными зонами. Мы постоянно модернизируем правила доменных зон .RU и .РФ так, чтобы деятельность злоумышленников получала однозначную оценку, а процесс реагирования был прост и эффективен.

Cyber Media: Чего ждать владельцам доменов в ближайшие годы? С какими атаками им придется иметь дело?

Евгений Панков: Наиболее вероятный вектор будущих атак – уязвимости протокола DNS. Сейчас с ним уже много проблем у западных регистраторов, а значит, со временем волна подобных атак докатится и до нас. Дело в том, что DNS – один из самых старых интернет-протоколов, ему около 70 лет. При этом его защищенность так и осталась на уровне университетских сетей.

Новое поколение протокола – DNSSEC – внедряется хоть и давно, но очень медленно. Процесс тормозят требования обратной совместимости в отношении огромного количества ПО, которое используют в разных местах, а также в open source. Пока для российского сегмента атаки на DNS – небольшая проблема. Но если придется ее решать, то нас ждет форсированный переход на DNSSEC.

В нашем случае – опять же из-за более простого администрирования национальных доменных зон – этот переход пройдет легче, чем в мире в целом. Но мы помним опыт внедрения национальных SSL-сертификатов и надеемся, что форсированных мер удастся избежать.

Кроме того, большой проблемой станет персональный фишинг. Уже сейчас разработаны технологии, позволяющие генерировать аудио- и видеодипфейки (deep fake). Однако пока они выдают результат не слишком высокого качества, чувствительны к объему ресурсов и, что главное, не продаются на черном рынке в форме готовых инструментов.

Хотя возможно, что через год-полтора ситуация изменится – мошенники будут использовать для подтверждения фишинговых ссылок полноценные голосовые и видеозвонки от якобы знакомых и родственников жертвы. С таким контентом мы, увы, ничего сделать не сможем. Вероятно, нам придется еще быстрее блокировать домены по жалобам жертв.

В общем, и нам, и администраторам доменов предстоит постоянно быть начеку и быстро адаптироваться к меняющемуся ландшафту угроз. Поэтому сейчас для всех особенно важны проактивный подход, оперативное реагирование и обучение пользователей основам ИБ, а также сотрудничество и обмен знаниями между администраторами доменов, специалистами по кибербезопасности и разработчиками ПО. Только объединив усилия, мы сможем противостоять угрозам и сделать Рунет безопаснее для всех.