Помимо того, что с мошенническими сайтами (фишинг, социнженерия, зловредный спам) борятся поисковые системы, в дело включилось и Минцифры РФ, запустив отдельный проект ИС Антифишинг в виде сайта.
Оператор новой системы – НИИ «Интеграл», подведомственный Минцифры. Институт в инициативном порядке запустил сайт (ссылка), на котором граждане могут пожаловаться на фишинг.
Сайт позволяет оператору отработать систему взаимодействия с гражданами по антифишингу, чтобы в дальнейшем реализовать удобные формы на портале Госуслуг. До конца лета система мониторинга фишинговых сайтов перейдет в промышленную эксплуатацию, а форма связи с гражданами станет доступна на портале Госуслуг.
О системе
Система использует множество источников, включая базы нескольких российских поставщиков данных о фишинге, которые ежедневно пополняют базу данных в среднем на 1100 записей. Из них операторы отбирают порядка 150-200 сайтов и, если сайт попал под критерии фишинга, его отправляют на блокировку/разделегирование, а за остальными устанавливается мониторинг, чтобы заблокировать при подтверждении фишинга. Сейчас на мониторинге 12 тыс. сайтов.Этапы фильтрации
В сутки система получает информацию о 25 млн сертификатов, которые проходят несколько этапов отбора:• предварительный отбор проходят только около 9-10 млн;
• второй пакет критериев: страницы сайта на русском языке, соответствие языка и доменных зон, страна хостинга сайта. Его проходят более 1 млн сертификатов;
• на третьем этапе анализируется информация на страницах и заголовках: ключевые слова и выражения.
Блокировка или мониторинг
За сутки до оператора системы доходит порядка 900 новых ресурсов, предварительно отобранных для анализа и принятия решения о блокировке или постановке ресурса на мониторинг.Система получает информацию о новых, перерегистрированных, перенесенных доменных именах в режиме, близком к реальному времени. Операторы системы получают первичную информацию для обработки с задержкой несколько минут с момента регистрации и выдачи сертификата на доменное имя, если ресурс отвечает критериям поиска. Для принятия решения оператору системы также доступен функционал верификации обнаруженных фишинговых ресурсов по 92 внешним источникам, в том числе общедоступным. Среднее время блокировки ресурса, при условии совпадения критериев поиска, — около 72 часов.