Каждый пятый новый домен — ловушка: как рынок доменов стал инструментом киберпреступности

Наиболее уязвимые TLD и регистраторы

По данным открытых источников, в 2026 году наблюдается значительный рост числа новых доменов, используемых в мошеннических схемах. Аналитика показывает, что значительная часть свежих регистраций может быть связана с фишингом, распространением вредоносного ПО или инвестиционными аферами. Особую обеспокоенность вызывает то, что злоумышленники всё чаще применяют автоматизированные методы для массового создания «однодневок» — доменов с жизненным циклом от нескольких часов до нескольких недель. Этого времени достаточно, чтобы провести целевые атаки на компании и получить доступ к конфиденциальным данным или счетам.

Российский бизнес остаётся одной из ключевых мишеней. Высокий уровень доверия к знакомым доменным именам (например, в зонах .RU и .РФ) позволяет атакующим эффективно имитировать официальные сервисы. В связи с этим важно понимать текущие тренды и способы защиты, не полагаясь только на реактивные меры.

Масштаб проблемы: данные отраслевых исследований

Согласно отчёту Interisle Consulting (открытый источник, 2025-2026 гг.), за последний год было зарегистрировано около 85 миллионов новых доменов. Из них не менее 8,5 миллиона впоследствии попали в блок-листы вредоносных ресурсов. Эксперты предполагают, что с учётом «серой» зоны и короткоживущих адресов реальная доля проблемных доменов может достигать 18-20% среди всех новых регистраций. Исследователи также отмечают неравномерность распределения: пять регистраторов обеспечивают примерно половину всех доменов, связанных с фишингом. В одном из случаев доля вредоносных регистраций достигала 88% от общего числа новых доменов этого регистратора.

Злоумышленники целенаправленно используют «супер-свежие» домены (возраст до 30 дней), которые ещё не попали в антивирусные базы. В практике анализа инцидентов за 2025-2026 годы около 80% целевых фишинговых атак на российские компании были связаны с доменами возрастом менее 30 дней. Это свидетельствует о переходе мошенников на высокоскоростные схемы.

Пример из практики

Одна из торговых компаний столкнулась с фишинговым письмом, якобы от ФНС. Ссылка вела на домен, зарегистрированный за 12 часов до рассылки, с адресом, визуально похожим на официальный («nalog-nalog78.ru» в зоне .RU). Сотрудник ввёл учётные данные от системы электронного документооборота. Благодаря быстрому реагированию службы безопасности (блокировка на шлюзе, смена паролей) удалось предотвратить финансовые потери. Однако затраты на экстренный аудит и простой составили около 800 тыс. рублей. Сам домен, по информации из открытых реестров, оставался работоспособным ещё несколько дней, так как регистратор отказался блокировать его без решения суда или запроса от правоохранительных органов.

Такие кейсы показывают, что полагаться только на регистраторов и внешние реестры не следует — необходима собственная проактивная защита.

Роль регистраторов и проблемные доменные зоны

В отчёте Interisle отмечается, что некоторые доменные регистраторы, особенно работающие с зонами .TOP, .ICU, .LOAN, .XYZ, .CLICK, .WIN, .DATE, имеют аномально высокую долю вредоносных регистраций — от 50% до 85%. Причины — низкая стоимость (менее 1 доллара за первый год), отсутствие верификации личности и возможность массовой автоматической регистрации через API. В зоне .LOAN, например, 82% новых доменов были признаны вредоносными, а коэффициент продления (renewal rate) не превышает 2-5%, что типично для «однодневок».

В России Координационный центр доменов .RU/.РФ ведёт работу по противодействию, однако случаи регистрации фишинговых доменов через некоторых локальных регистраторов (особенно на стыке с международными зонами) продолжают фиксироваться. Отсутствие обязательной верификации для массовых регистраций остаётся системной уязвимостью.

Группировка FUNNULL: пример системной угрозы

По данным американских властей и исследователей Interisle, криминальная структура FUNNULL (известна с 2025 года) специализируется на инвестиционных аферах, фишинге и распространении вредоносного ПО через массовую регистрацию доменов. Общее количество зарегистрированных ею доменов может превышать миллион. В мае 2025 года США ввели санкции против FUNNULL, однако активность не прекратилась — группировка переключилась на регистраторов, не проверяющих санкционные списки, используя зоны .TOP, .ICU, .BIKE, .LOL и другие.

Типовая схема: регистрация домена с нейтральным или инвестиционным названием, создание страницы с обещанием высокой доходности, привлечение жертв через таргетированную рекламу или спам. Домен прекращает работу через несколько недель. В открытых источниках (анализ CTI-разведки за февраль-апрель 2026 года) зафиксирован всплеск регистраций доменов, содержащих слова «брокер», «капитал», «инвестиции», в зонах .SITE, .ONLINE, .STORE. У значительной части таких доменов обнаружены общие шаблоны страниц и IP-диапазоны, что может указывать на одного организатора.

Рекомендации по защите от фишинговых доменов

Ниже приведены меры, которые позволяют снизить риск компрометации для бизнеса. Полная защита невозможна, но комплексный подход уменьшает вероятность инцидента на 70-90%.

1. Проверяйте возраст домена перед переходом по ссылке.
   Используйте общедоступные whois-сервисы (например, whois.domaintools.com). Домен, зарегистрированный менее 30 дней назад, особенно в сочетании с внешним письмом — весомый повод для проверки.
2. Внедрите DNS-фильтрацию с блокировкой новых доменов (до 30 дней).
   На уровне корпоративного шлюза или прокси можно настроить правило, запрещающее доступ к доменам, возраст которых меньше заданного порога. Это перехватывает большинство «свежих» фишинговых ресурсов.
3. Используйте актуальные Threat Intelligence Feeds.
   Подписка на сервисы (VirusTotal Intelligence, AbuseIPDB, коммерческие решения от Group-IB, F.A.C.C.T., Kaspersky и др.) с обновлением не реже раза в час позволяет автоматически загружать списки вредоносных доменов в межсетевые экраны или SIEM.
4. Обучите сотрудников базовой гигиене.
   Проведите короткий ликбез: покажите, как отличить долгоживущий домен (несколько лет, известный владелец) от подозрительного (возраст 1 день, скрытые данные, регистратор в офшорной зоне). Создайте памятку с примерами.
5. Блокируйте на почтовом шлюзе письма со ссылками на «плохие» зоны.
   Настройте антиспам-фильтр на запрет ссылок с доменами .LOAN, .ICU, .TOP, .XYZ, .CLICK, .WIN, .DATE. Это отсекает до 80% массового фишинга.
6. Внедрите DMARC, DKIM, SPF в режиме reject.
   Эти протоколы существенно усложняют подделку вашего домена в письмах. По данным отраслевых обзоров, до 50% российских компаний пока не используют DMARC.
7. Мониторьте новые регистрации, похожие на ваш бренд.
   Сервисы брендового мониторинга (или простые скрипты на Python с whois-библиотекой) позволяют ежедневно проверять появление доменов, содержащих название компании или ключевые слова (например, «налог», «сбер», «эдо»). При обнаружении подозрительного — направлять жалобу регистратору и в CERT.
8. Используйте защиту от «однодневок» на уровне DNS-провайдера.
   Некоторые провайдеры (Яндекс.DNS с опцией «Родительский контроль», Cisco Umbrella и др.) предоставляют возможность блокировать свежие домены автоматически.
9. Обязательно применяйте двухфакторную аутентификацию (2FA) для всех критических сервисов.
   Даже если пароль украден, без второго фактора злоумышленник не сможет войти. Это одна из самых эффективных мер.
10. Разработайте план реагирования на компрометацию.
    Определите ответственных, алгоритм блокировки домена через провайдера или Координационный центр .RU/.РФ (форма «злоупотребления»), а также процедуру экстренной смены паролей и отзыва сессий. Время реакции должно измеряться часами.

Часто задаваемые вопросы (по материалам практики)

1. Может ли фишинговый домен иметь валидный SSL-сертификат?
   Да. SSL (замочек) означает только шифрование соединения, а не легитимность сайта. Мошенники получают бесплатные сертификаты за минуты, например, от Let's Encrypt.
2. Как быстро заблокировать фишинговый домен в России?
   Для зон .RU/.РФ — обращение в Координационный центр через форму «злоупотребления». Для других зон — через регистратора или реестр запрещённых сайтов РКН. На практике процедура занимает от нескольких дней, поэтому приоритетнее собственная блокировка на периметре.
3. Несут ли регистраторы ответственность за фишинг?
   В России прямой ответственности по 152-ФЗ или 187-ФЗ для регистраторов пока нет. В Европе уже есть прецеденты штрафов на миллионы евро. Ситуация может измениться.
4. Насколько эффективны бесплатные списки вредоносных доменов?
   Они полезны, но часто содержат уже устаревшие данные (задержка дни и недели). Для бизнеса необходимы коммерческие фиды с задержкой не более часа.
5. Почему злоумышленники используют новые, а не взломанные старые домены?
   Старые домены часто уже в чёрных списках почтовых систем и антивирусов. Новый домен имеет «чистую репутацию» и с большей вероятностью доставит письмо или ссылку.
6. Что такое гомографные атаки?
   Использование символов, визуально неотличимых от латиницы (например, греческая 'ο' вместо латинской 'o'). Домен gοοgle.com (с омикронами) выглядит как google.com. Браузеры частично блокируют такие адреса, но основная защита — не переходить по ссылкам из писем, а вводить адрес вручную.
7. Помогает ли частая смена паролей против фишинга?
   Нет, если пароль украден — он будет использован сразу. Гораздо эффективнее внедрить 2FA и мониторинг компрометации учётных данных.
8. Могут ли QR-коды вести на фишинг?
   Да, растёт число атак, где поддельная страница предлагает отсканировать QR-код для «подтверждения аккаунта». Правила те же: не сканировать коды на сомнительных ресурсах.
9. Что делать при переходе сотрудника на фишинг и вводе пароля?
   Немедленно: сменить пароль, отозвать все сессии, проверить правила переадресации почты, запустить антивирусное сканирование, заблокировать домен на всех хостах. Сообщить в ИБ-отдел.
10. Законно ли проверять возраст домена для всех входящих писем?
    Да, это соответствует требованиям 152-ФЗ и 187-ФЗ о защите персональных данных и финансовых транзакций. Рекомендуется ФСТЭК как организационно-техническая мера.

Что можно сделать прямо сейчас (без значительных бюджетов)

1. Проверить свой домен на наличие похожих адресов. Поискать в открытых источниках запросы вида «вашбренд + мошенничество» или «вашбренд + поддельный сайт».
2. Настроить уведомления о новых регистрациях, включающих ваш бренд, через Google Alerts или бесплатные сервисы вроде DomainsBot.
3. Провести короткий (10 минут) инструктаж для сотрудников: показать примеры подозрительных доменов, объяснить правило «домен младше 30 дней из письма — не кликать, сообщить в ИБ».
4. Включить в настройках корпоративного антиспам-шлюза (например, Kaspersky Secure Mail Gateway, Cisco Email Security) блокировку по возрасту домена, если такая функция предусмотрена.
5. Обратиться к профильным экспертам для аудита защищённости — самостоятельные меры полезны, но профессиональный анализ может выявить скрытые риски.

Если вам важно объективно оценить уровень защищённости вашей компании от фишинговых атак и доменных «однодневок», рекомендуется провести аудит инфраструктуры и процессов реагирования. Специалисты помогут подобрать оптимальный набор технических и организационных мер.

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]