СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:25
#ИБ

Домены-двойники: скрытая угроза фишинга и кражи учетных данных

Домены-омонимы, также известные как typosquatting или домены имперсонации, остаются одной из наиболее эффективных угроз в киберпространстве. Их главная цель — эксплуатация доверия пользователей к известным веб-сайтам и брендам. Злоумышленники регистрируют домены, визуально почти неотличимые от легитимных адресов, и используют их для фишинга, кражи учетных данных и распространения вредоносного программного обеспечения.

Как работает эта угроза

Суть атаки заключается в использовании незначительных различий в написании доменного имени. Это могут быть перестановки символов, пропущенные буквы, лишние знаки или применение кириллических символов, визуально напоминающих латинские. В результате пользователь может не заметить подмену и перейти на поддельный ресурс, считая его безопасным.

Подобные домены требуют минимальных затрат на регистрацию, а потому злоумышленники могут массово создавать десятки и сотни вариантов одного и того же имени. При этом такие сайты нередко живут долго, собирая конфиденциальные данные до момента обнаружения — если это вообще происходит.

Масштаб проблемы

Согласно исследованиям 2025 года, еженедельно выявляется более 20 000 доменов-двойников, и значительная их часть активно имитирует крупные бренды. Распространенность этой практики объясняется не только низкой стоимостью регистрации, но и высокой эффективностью атак: даже кратковременная активность такого домена может привести к компрометации учетных записей и финансовым потерям.

Дополнительную опасность создают действительные сертификаты HTTPS, которые все чаще используются на вредоносных сайтах. Пользователи, привыкшие воспринимать значок замка как признак безопасности, оказываются введены в заблуждение: наличие HTTPS не означает, что сайт является легитимным.

Основные техники имперсонации

Злоумышленники применяют несколько подходов, каждый из которых направлен на визуальный или логический обман пользователя:

  • Typosquatting — использование распространенных опечаток и ошибок ввода.
  • Гомоглифы — символы из разных скриптов, которые выглядят одинаково в большинстве контекстов.
  • Combosquatting — добавление описательных слов к официальному доменному имени, чтобы создать видимость легитимности.
  • TLD swapping — замена верхнего уровня домена на визуально схожий вариант.
  • Домены-двойники — адреса, максимально похожие на оригинальные и рассчитанные на фишинг.

Все эти методы имеют общую цель — ввести пользователя в заблуждение и заставить его взаимодействовать с поддельной инфраструктурой.

Что атакуют злоумышленники

Наиболее часто домены-двойники используются для сбора учетных данных. Для этого создаются пиксельно точные копии страниц входа, где пользователь вводит логин, пароль и другие данные, которые затем уходят злоумышленникам.

В более продвинутых сценариях применяются прокси-серверы класса adversary-in-the-middle (AiTM). Они позволяют перехватывать не только учетные данные, но и токены сеанса, что делает возможным обход многофакторной аутентификации и дальнейшую компрометацию учетной записи.

Еще одно направление атак — Business Email Compromise (BEC). В таких кампаниях домены-двойники используются для повышения убедительности мошеннических писем, в которых жертв вынуждают перевести средства или изменить реквизиты учетных записей.

Не менее опасно и распространение malware. Пользователь, полагая, что загружает программное обеспечение от легитимного поставщика, может установить скомпрометированный файл. Именно эта тактика стала одним из факторов резкого роста числа stealermalware, распространяемых через фишинговую инфраструктуру.

Как защититься

Для противодействия доменам-двойникам организациям необходим проактивный подход. Ключевую роль играют инструменты мониторинга журналов прозрачности сертификатов и автоматические оповещения о регистрации доменов. Они помогают быстро выявлять недавно созданные подозрительные адреса и реагировать до того, как они нанесут ущерб.

Не менее важен непрерывный пассивный мониторинг DNS, позволяющий отслеживать момент активации таких доменов. Дополнительно могут использоваться threat intelligence из dark web, которые помогают обнаружить скрытую подготовку фишинговых кампаний.

После выявления угрозы критически важны оперативные takedown-меры. Для этого необходимы устойчивые отношения с регистраторами доменов, а также использование правовых механизмов, позволяющих сократить время существования вредоносной инфраструктуры.

Вывод

Домены-омонимы и другие формы имперсонации остаются дешевой, масштабируемой и крайне опасной техникой атакующих. Их успех основан не на сложности взлома, а на человеческом факторе: доверии, невнимательности и привычке ориентироваться на внешний вид сайта. Именно поэтому эффективная защита требует не только технического мониторинга, но и постоянного повышения цифровой грамотности пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: