Специалисты F6 (ранее F.A.C.C.T., а также Group-IB в России) зарегистрировали новую волну мошеннических атак на владельцев доменных имён, срок регистрации которых подходит к завершению. Злоумышленники от имени регистратора отправляют письма от необходимости оплатить услуги и ссылкой на оплату через популярную платёжную систему.
Как рассказали F6, атака ведётся на клиентов одного из популярных российских регистраторов. Злоумышленники используют сервисы Whois, чтобы получить информацию о доменах, срок регистрации которых истекает в ближайшее время.
В открытых источниках мошенники находят контакты для связи с администраторами доменных имён, от имени реального регистратора отправляют письмо о необходимости оплатить услуги для продления регистрации доменного имени. В письме содержится QR-код для быстрой оплаты услуг в сумме 2190 рублей через популярную платёжную систему. Однако платёж уходит не в адрес регистратора, а как перевод по номеру мобильного телефона.
Для новой волны атак мошенники в период с марта по июль 2025 года зарегистрировали как минимум 6 доменов в зонах .ru, .online и .org, которые содержат бренд регистратора в различных сочетаниях со словами «payments», «domainpay», «paydomain» и «payonlinehost». При этом злоумышленники маскируют свои ресурсы: ссылка для оплаты доступна только на конкретной странице, а при попытке перейти на главную страницу фишингового ресурса происходит переадресация на официальный сайт регистратора. В F6 подчеркнули:
Потенциально в числе получателей подобных фишинговых писем могут оказаться сотни тысяч владельцев сайтов. Под данным сервиса статистики, только в зоне .ru ежедневно продляется в среднем более 15 тыс. доменов.
