Продли домен: мошеннические e-mail рассылки

29 июня 2018

Недавно мы обнаружили мошенническую рассылку якобы от имени крупной компании, занимающейся регистрацией доменных имен. Поддельные письма представляли собой уведомления об истечении срока регистрации реально существующих доменных имен и рассылались на адреса администраторов этих доменов.

Мошенники пытаются напугать владельцев доменов, рассылая письма о якобы закончившемся сроке регистрации

Также письма содержали предупреждение о том, что в случае неоплаты в течение суток делегирование доменного имени будет прекращено, и оно поступит в свободную продажу. Эдакая ненавязчивая угроза, подталкивающая получателя заплатить за продление как можно скорее — а сделать это очень легко, ведь в том же письме есть удобная кнопка «Оплатить».

Примеры мошеннических писем якобы от лица доменного регистратора

Примеры мошеннических писем якобы от лица доменного регистратора

После нажатия кнопки оплаты пользователи попадали на сайты, не имеющие никакого отношения к регистратору, а при переходе на них PHP-скрипт перенаправлял посетителей на сервис «Яндекс.Деньги» для моментальной оплаты услуги. В форме оплаты уже были заполнены все необходимые поля (сумма, номер счета получателя). Оставалось лишь ввести номер банковской карты и подтвердить перевод денег на счет злоумышленников.

Мошенники заботливо упрощают оплату: чтобы потерять деньги, нужно только ввести данные карты

Мошенники заботливо упрощают оплату: чтобы потерять деньги, нужно только ввести данные карты

Стоит отметить, что данные подделки рассчитаны в основном на тех, кто не слишком часто имеет дело с регистрацией доменов. Опытные люди сразу заметят, что подделки не содержат никакой релевантной информации, кроме правильно указанного доменного имени, — нет ни номера договора, ни конкретного срока окончания регистрации. В подлинных уведомлениях обычно эта информация есть, как есть и все официальные ссылки на необходимые инструкции и текущие тарифы, а также контакты для связи на случай возникновения дополнительных вопросов.

Вот так выглядит реальное уведомление от регистратора доменных имен. Как говорится, почувствуйте разницу

Вот так выглядит реальное уведомление от регистратора доменных имен. Как говорится, почувствуйте разницу

Другие примеры мошеннических писем

Мошеннические письма с доменами рассылаются и на английском языке. Основная цель злоумышленников та же самая — выманить у владельцев доменов деньги. Популярной уловкой является предложение зарегистрировать домен в поисковых системах, чтобы потенциальным клиентам было проще найти его в Интернете.

Популярной уловкой является предложение зарегистрировать домен в поисковых системах

Однотипные мошеннические спам-рассылки в течение многих лет могут гулять по электронным ящикам пользователей. Иногда доходит до смешных ситуаций, когда пользователь получает письмо из прошлого — в теле письма указан, например, 2015 год, хотя на календаре уже 2018-й.

Внимание к таким мелочам сразу помогает раскусить обманщиков. Конечно, спамеры редко оказываются настолько беспечными и в основном стараются разнообразить свои творения: могут меняться тема и текст письма, адреса отправителей и алгоритм их генерации, а также другие детали. Но идея текста письма и основные уловки мошенников остаются неизменными.

Внимание к таким мелочам сразу помогает раскусить обманщиков Внимание к таким мелочам сразу помогает раскусить обманщиков

Чтобы продлить/зарегистрировать домен в поисковых системах, мошенники предлагают перейти по ссылке, выбрать желаемый тариф и оплатить услугу картой. Стоимость тарифа зависит от срока его действия и количества поисковых систем, а на самые дорогие и «выгодные» тарифы предоставляются скидки. Злоумышленники пытались выудить у пользователя не только деньги, но и личные данные, предлагая заполнить специальную форму-квитанцию.

Злоумышленники пытались выудить у пользователя не только деньги, но и личные данные

Также они пытались получить контроль непосредственно над доменом. В поддельных сообщениях от имени крупной компании, занимающейся регистрацией доменных имен, говорилось о необходимости активировать домен, чтобы подтвердить свой статус администратора и возможность управления доменом. Эти меры приняты якобы в соответствии с поправками, внесенными в регламент ICANN (Корпорации по управлению доменными именами и IP-адресами).

Для этого в течение ограниченного срока в корневой директории сайта администратору предлагали создать PHP-файл определенного содержания. Дескать, если эти условия не соблюсти, то регистрация домена не будет подтверждена и его обслуживание будет приостановлено.

Также мошенники пытались получить контроль непосредственно над доменом

Запуск такого скрипта дает злоумышленникам полный контроль над сайтом и возможность запускать любой код. Стоит заметить, что немало таких писем было отправлено на адреса банков. Функция в скрипте также позволяет собирать все пользовательские данные, вводимые на сайте, на котором он размещен и запущен. И если мошенники получат доступ к вводимым на сайте банка данным, то смогут перехватывать в том числе логины и пароли от интернет-банка.

Как защититься от подобного мошенничества

Выясните, от какой именно компании пришло письмо.

  • Даже если отправителем является известный регистратор и от вас требуют совершить какие-то действия со своим доменом (продлить регистрацию, создать какие-то каталоги, обновить ПО и прочее), и в письме присутствие ссылка или вложение,  — не спешите переходить к действию. Зайдите на сайт компании и в личный кабинет, проверьте сроки регистрации. Если действительно пора что-то делать — выполните необходимые действия на официальных ресурсах.
  • В случае если компания неизвестна или совершенно непонятно, кто это такие (даже названия нет, а поиск в Интернете также не дает результатов), то не стоит вступать с ней в сотрудничество, какие бы услуги и скидки ни предлагались. Настоятельно рекомендуем обращаться исключительно к известным и проверенным организациям, в качестве услуг которых вы уверены. Приобретение товаров и услуг из спама — неоправданный риск стать очередной жертвой мошенников или получить некачественные товары и услуги.
  • Не верьте в угрозы о блокировке/приостановлении работы домена и прочих негативных последствиях в случае, если не будут выполнены действия, указанные в письме. Это верный признак мошенничества. У настоящего регистратора доменов нет поводов угрожать своим клиентам.