F6: мошенники атакуют владельцев доменных имен

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, зафиксировала новую волну мошеннических атак на владельцев доменных имен, срок регистрации которых подходит к завершению. Злоумышленники от имени регистратора отправляют письма от необходимости оплатить услуги и ссылкой на оплату через популярную платежную систему. Под данным сервиса статистики, только в зоне .RU ежедневно продляется в среднем более 15 тыс. доменов.

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новую волну атак мошенников на владельцев доменных имен — клиентов одного из популярных российских регистраторов.

Злоумышленники используют сервисы Whois, чтобы получить информацию о доменах, срок регистрации которых истекает в ближайшее время. В открытых источниках мошенники находят контакты для связи с администраторами доменных имен, от имени реального регистратора отправляют письмо о необходимости оплатить услуги для продления регистрации доменного имени. В письме содержится QR-код для быстрой оплаты услуг в сумме 2190 рублей через популярную платежную систему. Однако платеж уходит не в адрес регистратора, а как перевод по номеру мобильного телефона.

Схема с рассылками фишинговых писем владельцам доменных имен от имени регистраторов уже неоднократно использовалась киберпреступниками как для кражи денег под видом платежей за оказанные услуги, так и для получения доступа к сайтам. Для новой волны атак мошенники в период с марта по июль 2025 года зарегистрировали как минимум 6 доменов в зонах .RU, .ONLINE и .ORG, которые содержат бренд регистратора в различных сочетаниях со словами «payments», «domainpay», «paydomain» и «payonlinehost». При этом злоумышленники тщательно маскируют свои ресурсы: ссылка для оплаты доступна только на конкретной странице, а при попытке перейти на главную страницу фишингового ресурса происходит переадресация на официальный сайт регистратора.

Потенциально в числе получателей подобных фишинговых писем могут оказаться сотни тысяч владельцев сайтов. Под данным сервиса статистики, только в зоне .RU ежедневно продляется в среднем более 15 тыс. доменов.

«Отличительная особенность новой волны мошеннических атак на владельцев доменных имен — использование популярной платежной системы. Расчет злоумышленников строится на том, что получатель письма доверится знакомому бренду и не заметит, что платеж за продление домена предлагают перевести не на счет организации, но по номеру телефону, а это явный признак мошенничества», — отмечает Максим Ионов, ведущий аналитик департамента Digital Risk Protection компании F6.

Рекомендации специалистов F6 для владельцев сайтов

• Если вам пришло письмо от имени регистратора с предложением оплатить продление домена, перейти по ссылке или открыть вложение, проверьте эту информацию. Зайдите в личный кабинет на официальном сайте регистратора, проверьте срок регистрации. Любые действия совершайте только через личный кабинет на сайте.
• Проверьте адрес отправителя такого письма. Если домен, с которого отправлено письмо, отличается от адресов из писем, которые вы получали от регистратора ранее, сообщите регистратору о получении подозрительного письма.
• Не переходите по ссылкам и не открывайте файлы из неожиданных писем.
• Если в письме есть угрозы блокировки домена или его быстрой продажи в случае несвоевременной оплаты, это еще один признак мошенников.