В России зафиксирована волна атак на владельцев доменных имен

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 обнаружили новую волну атак мошенников на владельцев доменных имён – клиентов одного из популярных российских регистраторов.

Как сообщает F6, злоумышленники используют сервисы Whois, чтобы получить информацию о доменах, срок регистрации которых истекает в ближайшее время. В открытых источниках мошенники находят контакты для связи с администраторами доменных имён, от имени реального регистратора отправляют письмо о необходимости оплатить услуги для продления регистрации доменного имени. В письме содержится QR-код для быстрой оплаты услуг в сумме 2190 рублей через популярную платёжную систему. Однако платёж уходит не в адрес регистратора, а как перевод по номеру мобильного телефона.

Схема с рассылками фишинговых писем владельцам доменных имён от имени регистраторов уже неоднократно использовалась киберпреступниками как для кражи денег под видом платежей за оказанные услуги, так и для получения доступа к сайтам. Для новой волны атак мошенники в период с марта по июль 2025 года зарегистрировали как минимум 6 доменов в зонах .RU, .ONLINE и .ORG, которые содержат бренд регистратора в различных сочетаниях со словами «payments», «domainpay», «paydomain» и «payonlinehost». При этом злоумышленники тщательно маскируют свои ресурсы: ссылка для оплаты доступна только на конкретной странице, а при попытке перейти на главную страницу фишингового ресурса происходит переадресация на официальный сайт регистратора.

Продолжение ниже

Потенциально в числе получателей подобных фишинговых писем могут оказаться сотни тысяч владельцев сайтов. Под данным сервиса статистики, только в зоне .RU ежедневно продляется в среднем более 15 тыс. доменов.

Рекомендации специалистов F6 для владельцев сайтов:

• Если вам пришло письмо от имени регистратора с предложением оплатить продление домена, перейти по ссылке или открыть вложение, проверьте эту информацию. Зайдите в личный кабинет на официальном сайте регистратора, проверьте срок регистрации. Любые действия совершайте только через личный кабинет на сайте.
• Проверьте адрес отправителя такого письма. Если домен, с которого отправлено письмо, отличается от адресов из писем, которые вы получали от регистратора ранее, сообщите регистратору о получении подозрительного письма.
• Не переходите по ссылкам и не открывайте файлы из неожиданных писем.
• Если в письме есть угрозы блокировки домена или его быстрой продажи в случае несвоевременной оплаты, это ещё один признак мошенников.