Поделиться
Свободная касса: мошенники атакуют владельцев сайтов
Компания F6, разработчик технологий для борьбы с киберпреступностью, зафиксировала новую волну мошеннических атак на владельцев доменных имен, срок регистрации которых подходит к завершению. Злоумышленники от имени регистратора отправляют письма от необходимости оплатить услуги и ссылкой на оплату через популярную платежную систему. Под данным сервиса статистики, только в зоне .RU ежедневно продляется в среднем более 15 тыс. доменов. Об этом CNews сообщили представители F6.
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новую волну атак мошенников на владельцев доменных имен – клиентов одного из популярных российских регистраторов.
Злоумышленники используют сервисы Whois, чтобы получить информацию о доменах, срок регистрации которых истекает в ближайшее время. В открытых источниках мошенники находят контакты для связи с администраторами доменных имен, от имени реального регистратора отправляют письмо о необходимости оплатить услуги для продления регистрации доменного имени. В письме содержится QR-код для быстрой оплаты услуг в сумме 2190 руб. через популярную платежную систему. Однако платеж уходит не в адрес регистратора, а как перевод по номеру мобильного телефона.
Схема с рассылками фишинговых писем владельцам доменных имен от имени регистраторов уже неоднократно использовалась киберпреступниками как для кражи денег под видом платежей за оказанные услуги, так и для получения доступа к сайтам. Для новой волны атак мошенники в период с марта по июль 2025 г. зарегистрировали как минимум шесть доменов в зонах .ru, .online и .org, которые содержат бренд регистратора в различных сочетаниях со словами payments, domainpay, paydomain и payonlinehost. При этом злоумышленники тщательно маскируют свои ресурсы: ссылка для оплаты доступна только на конкретной странице, а при попытке перейти на главную страницу фишингового ресурса происходит переадресация на официальный сайт регистратора.
Потенциально в числе получателей подобных фишинговых писем могут оказаться сотни тысяч владельцев сайтов. Под данным сервиса статистики, только в зоне .RU ежедневно продляется в среднем более 15 тыс. доменов.
«Отличительная особенность новой волны мошеннических атак на владельцев доменных имен – использование популярной платежной системы. Расчет злоумышленников строится на том, что получатель письма доверится знакомому бренду и не заметит, что платеж за продление домена предлагают перевести не на счет организации, но по номеру телефону, а это явный признак мошенничества», – отметил Максим Ионов, ведущий аналитик департамента Digital Risk Protection компании F6.
Рекомендации специалистов F6 для владельцев сайтов
Если вам пришло письмо от имени регистратора с предложением оплатить продление домена, перейти по ссылке или открыть вложение, проверьте эту информацию. Зайдите в личный кабинет на официальном сайте регистратора, проверьте срок регистрации. Любые действия совершайте только через личный кабинет на сайте.
Проверьте адрес отправителя такого письма. Если домен, с которого отправлено письмо, отличается от адресов из писем, которые вы получали от регистратора ранее, сообщите регистратору о получении подозрительного письма.
Не переходите по ссылкам и не открывайте файлы из неожиданных писем.
Если в письме есть угрозы блокировки домена или его быстрой продажи в случае несвоевременной оплаты, это еще один признак мошенников.
Короткая ссылка
