Перейти к основному содержанию
Уважаемые коллеги! Новая версия сайта работает в тестовом режиме. Информация появится с ближайшие дни.
Фейковая форма продления доменов WebNames.ru

Внимание мошенники предлагают "продлить" домен

2 февраля 2018 г. 09:54

Нашим клиентам стали приходить письма с предложением оплатить продление домена во избежании его блокировки. Письмо оформлено от имени регистратора WebNames.ru (ООО "Регтайм"). Такие уведомления действительно должны приходить, когда срок регистрации подходит к концу (примерно за 1-2 месяца).

"Я оплатил домен 4 дня назад"

Подозрение вызвало то, что домен был зарегистрирован через одного из партнеров регистратора. Оплата и информирование соответственно осуществлялась через него. Даже после того, как продление домена было оплачено привычным способом, данная рассылка продолжила поступать.

СайтСервис.РФ сотрудничает только с регистратором REG.RU, поэтому клиенты оформившие домен через наш сервис hosting.sitemanage.ru были вне зоны риска. Однако те, кто регистрировал домен на сторонних сервисах просили нас проконсультировать по какой причине им приходят уведомления.

Наш специалист по информационной безопасности немедленно проанализировал письмо.

Рассылка выглядит достаточно достоверно. Кроме того GMail и Яндекс.Почта не отправили письмо в СПАМ, как это обычно происходит с подозрительными отправлениями.

Внимание привлекли две вещи:

1. Письмо отправлено через сервер dialektika.com, что подозрительно для такого крупного регистратора, как WebNames

2. Письмо пришло на адрес электронной почты, который размещен на сайте в открытом доступе. Этот E-Mail НЕ указывался при регистрации домена, т.е. регистратор не может его знать.

Переходим по кнопке "Оплатить" и уже ожидаемо попадаем не на сайт регистратора, а на неведомую форму. Мошенники даже не предлагают ввести имя пользователя - только номер карты, срок действия и код.

Форма располагается на домене delusion.ru - чья-то домашняя страничка, не обновляемая с 2009 года.

За продление домена .РФ мошенники просят аж 1048 рубля. Кстати, на хостинге СайтСервис.рф продление домена .RU и .РФ стоит столько же, сколько и регистрация - 190 руб.

Фейковые данные форма не принимала - скорее всего деньги отправляются на какой-то анонимный электронный кошелек. Данные настоящей карты мы вводить не рискнули :)

UPD: Через некоторое время вместо формы по полученной ссылке стал открываться белый экран. Видимо мошенники подстраховались и сделали форму временной, чтобы скрыть доказательную базу.

Как отличить мошенников от настоящей рассылки

Даже, если Вы получили письмо, которое не вызывает никаких подозрений, оплату лучше делать из своего личного кабинета на сайте, где Вы оформляли домен. Обычно при переходе по ссылке из письма, Вам в любом случае предложат авторизоваться в личном кабинете.

Так могут ли заблокировать Ваш домен, если он уже был оплачен?

Заблокировать Ваш домен может только регистратор! В первую очередь необходимо проверить, продлен ли Ваш домен. Это легко сделать!

Для чистоты эксперимента мы обратились на сайт регистратора данного домена.

В поле "WHOIS" ввели наш домен и получили:

Данная информация подтверждает, что домен оплачен и продлен до 2019 года. Никто не сможет его заблокировать или передать третьим лицам.

Выводы

В данном случае мошенники пытались сыграть на неподготовленности и невнимательности пользователя. Даже, если Вы не разбираетесь в вопросах регистрации доменов, есть несколько правил, которые помогут Вам избежать рисков быть обманутыми.

Вводя данные своей карточки, обращайте внимание на url сайта.