Продли домен: мошеннические e-mail рассылки

Недавно мы обнаружили мошенническую рассылку якобы от имени крупной компании, занимающейся регистрацией доменных имен. Поддельные письма представляли собой уведомления об истечении срока регистрации реально существующих доменных имен и рассылались на адреса администраторов этих доменов.

Также письма содержали предупреждение о том, что в случае неоплаты в течение суток делегирование доменного имени будет прекращено, и оно поступит в свободную продажу. Эдакая ненавязчивая угроза, подталкивающая получателя заплатить за продление как можно скорее — а сделать это очень легко, ведь в том же письме есть удобная кнопка «Оплатить».

Примеры мошеннических писем якобы от лица доменного регистратора

После нажатия кнопки оплаты пользователи попадали на сайты, не имеющие никакого отношения к регистратору, а при переходе на них PHP-скрипт перенаправлял посетителей на сервис «Яндекс.Деньги» для моментальной оплаты услуги. В форме оплаты уже были заполнены все необходимые поля (сумма, номер счета получателя). Оставалось лишь ввести номер банковской карты и подтвердить перевод денег на счет злоумышленников.

Мошенники заботливо упрощают оплату: чтобы потерять деньги, нужно только ввести данные карты

Стоит отметить, что данные подделки рассчитаны в основном на тех, кто не слишком часто имеет дело с регистрацией доменов. Опытные люди сразу заметят, что подделки не содержат никакой релевантной информации, кроме правильно указанного доменного имени, — нет ни номера договора, ни конкретного срока окончания регистрации. В подлинных уведомлениях обычно эта информация есть, как есть и все официальные ссылки на необходимые инструкции и текущие тарифы, а также контакты для связи на случай возникновения дополнительных вопросов.

Вот так выглядит реальное уведомление от регистратора доменных имен. Как говорится, почувствуйте разницу

Другие примеры мошеннических писем

Мошеннические письма с доменами рассылаются и на английском языке. Основная цель злоумышленников та же самая — выманить у владельцев доменов деньги. Популярной уловкой является предложение зарегистрировать домен в поисковых системах, чтобы потенциальным клиентам было проще найти его в Интернете.

Однотипные мошеннические спам-рассылки в течение многих лет могут гулять по электронным ящикам пользователей. Иногда доходит до смешных ситуаций, когда пользователь получает письмо из прошлого — в теле письма указан, например, 2015 год, хотя на календаре уже 2018-й.

Внимание к таким мелочам сразу помогает раскусить обманщиков. Конечно, спамеры редко оказываются настолько беспечными и в основном стараются разнообразить свои творения: могут меняться тема и текст письма, адреса отправителей и алгоритм их генерации, а также другие детали. Но идея текста письма и основные уловки мошенников остаются неизменными.

Чтобы продлить/зарегистрировать домен в поисковых системах, мошенники предлагают перейти по ссылке, выбрать желаемый тариф и оплатить услугу картой. Стоимость тарифа зависит от срока его действия и количества поисковых систем, а на самые дорогие и «выгодные» тарифы предоставляются скидки. Злоумышленники пытались выудить у пользователя не только деньги, но и личные данные, предлагая заполнить специальную форму-квитанцию.

Также они пытались получить контроль непосредственно над доменом. В поддельных сообщениях от имени крупной компании, занимающейся регистрацией доменных имен, говорилось о необходимости активировать домен, чтобы подтвердить свой статус администратора и возможность управления доменом. Эти меры приняты якобы в соответствии с поправками, внесенными в регламент ICANN (Корпорации по управлению доменными именами и IP-адресами).

Для этого в течение ограниченного срока в корневой директории сайта администратору предлагали создать PHP-файл определенного содержания. Дескать, если эти условия не соблюсти, то регистрация домена не будет подтверждена и его обслуживание будет приостановлено.

Запуск такого скрипта дает злоумышленникам полный контроль над сайтом и возможность запускать любой код. Стоит заметить, что немало таких писем было отправлено на адреса банков. Функция в скрипте также позволяет собирать все пользовательские данные, вводимые на сайте, на котором он размещен и запущен. И если мошенники получат доступ к вводимым на сайте банка данным, то смогут перехватывать в том числе логины и пароли от интернет-банка.

Как защититься от подобного мошенничества

Выясните, от какой именно компании пришло письмо.

• Даже если отправителем является известный регистратор и от вас требуют совершить какие-то действия со своим доменом (продлить регистрацию, создать какие-то каталоги, обновить ПО и прочее), и в письме присутствие ссылка или вложение,  — не спешите переходить к действию. Зайдите на сайт компании и в личный кабинет, проверьте сроки регистрации. Если действительно пора что-то делать — выполните необходимые действия на официальных ресурсах.
• В случае если компания неизвестна или совершенно непонятно, кто это такие (даже названия нет, а поиск в Интернете также не дает результатов), то не стоит вступать с ней в сотрудничество, какие бы услуги и скидки ни предлагались. Настоятельно рекомендуем обращаться исключительно к известным и проверенным организациям, в качестве услуг которых вы уверены. Приобретение товаров и услуг из спама — неоправданный риск стать очередной жертвой мошенников или получить некачественные товары и услуги.
• Не верьте в угрозы о блокировке/приостановлении работы домена и прочих негативных последствиях в случае, если не будут выполнены действия, указанные в письме. Это верный признак мошенничества. У настоящего регистратора доменов нет поводов угрожать своим клиентам.

• Используйте надежное защитное решение, в котором есть модули антиспама и антифишинга — они помогут вычислить мошенников.