Изображение: recraft
Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, зафиксировала новую волну мошеннических атак на владельцев доменных имён, срок регистрации которых подходит к завершению. Злоумышленники от имени регистратора отправляют письма с требованием оплатить услуги и со ссылкой на оплату через популярную платёжную систему. По данным сервиса статистики, только в зоне .RU ежедневно продлевается в среднем более 15 тыс. доменов.
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новую волну атак мошенников на владельцев доменных имён – клиентов одного из популярных российских регистраторов.
Злоумышленники используют сервисы Whois, чтобы получить информацию о доменах, срок регистрации которых истекает в ближайшее время. В открытых источниках мошенники находят контакты для связи с администраторами доменных имён, от имени реального регистратора отправляют письмо о необходимости оплатить услуги для продления регистрации доменного имени. В письме содержится QR-код для быстрой оплаты услуг в сумме 2190 рублей через популярную платёжную систему. Однако платёж уходит не в адрес регистратора, а в виде перевода на номер мобильного телефона.
Схема с рассылками фишинговых писем владельцам доменных имён от имени регистраторов уже неоднократно использовалась киберпреступниками как для кражи денег под видом платежей за оказанные услуги, так и для получения доступа к сайтам. Для новой волны атак мошенники в период с марта по июль 2025 года зарегистрировали как минимум 6 доменов в зонах .RU, .ONLINE и .ORG, которые содержат бренд регистратора в различных сочетаниях со словами «payments», «domainpay», «paydomain» и «payonlinehost». При этом злоумышленники тщательно маскируют свои ресурсы: ссылка для оплаты доступна только на конкретной странице, а при попытке перейти на главную страницу фишингового ресурса происходит переадресация на официальный сайт регистратора.
Потенциально в числе получателей подобных фишинговых писем могут оказаться сотни тысяч владельцев сайтов. Под данным сервиса статистики, только в зоне .RU ежедневно продлевается в среднем более 15 тыс. доменов.
«Отличительная особенность новой волны мошеннических атак на владельцев доменных имён – использование популярной платёжной системы. Расчёт злоумышленников строится на том, что получатель письма доверится знакомому бренду и не заметит, что платёж за продление домена предлагают перевести не на счёт организации, а по номеру телефона, а это явный признак мошенничества», – отмечает Максим Ионов, ведущий аналитик департамента Digital Risk Protection компании F6.
Рекомендации специалистов F6 для владельцев сайтов
· Если вам пришло письмо от имени регистратора с предложением оплатить продление домена, перейти по ссылке или открыть вложение, проверьте эту информацию. Зайдите в личный кабинет на официальном сайте регистратора, проверьте срок регистрации. Любые действия совершайте только через личный кабинет на сайте.
· Проверьте адрес отправителя такого письма. Если домен, с которого отправлено письмо, отличается от адресов из писем, которые вы получали от регистратора ранее, сообщите регистратору о получении подозрительного письма.
· Не переходите по ссылкам и не открывайте файлы из неожиданных писем.
· Если в письме есть угрозы блокировки домена или его быстрой продажи в случае несвоевременной оплаты, это ещё один признак мошенников.
Оригинал публикации на сайте CISOCLUB: "Свободная касса: мошенники атакуют владельцев сайтов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.