Рег.ру и BI.ZONE отразили фишинговую атаку на владельцев сайтов

Мошенники просили пользователей пополнить баланс с использованием криптовалюты, чтобы якобы продлить услуги хостинга.

Специалисты BI.ZONE Brand Protection и BI.ZONE Mail Security совместно с провайдером и регистратором доменов Рег.ру обнаружили новую мошенническую схему phantom donation. Злоумышленники рассылали электронные письма от лица Рег.ру. Для продолжения использования сервисов мошенники просили пополнить баланс с использованием криптовалюты. Выбор такого формата оплаты в письме объяснялся «санкциями, наложенными на российские веб-хостинг-услуги».

Для оплаты мошенники предлагали перейти по ссылке на один из легитимных сервисов платежей в криптовалюте. Пользователь попадал на страницу оплаты на платформе, в адресе которой среди прочего содержалось упоминание reg.ru. Далее можно было пополнить баланс на любую сумму. При этом для проведения оплаты был доступен только способ donation, то есть добровольная оплата, денежное пожертвование.

Поскольку пользователям предлагалось провести оплату не через фишинговый сайт, а через легитимную платформу для операций в криптовалюте, их платежные данные оставались в безопасности. Однако деньги в этом случае уходили не на оплату сервисов хостинг‑провайдера, а оказывались на балансе мошенников.

При этом на самой платформе для оплаты в разделе «База знаний» указано, что продавцам и клиентам, которые работают исключительно с криптовалютой, необходимо проходить процедуру KYB/KYC (верификация пользователя) только в редких случаях, когда определенная транзакция помечается как подозрительная. Как заверяют представители платформы, она обеспечивает полную анонимность всех транзакций.

В электронных письмах содержался устаревший фирменный стиль и прошлое название компании — REG.RU, которое не используется с 2023 года. Оно было изменено на Рег.ру. Кроме того, адрес отправителя никак не был связан с Рег.ру. Это частая практика, когда мошенники имитируют только бренд и визуальные компоненты в теле письма и не тратят дополнительных ресурсов на то, чтобы сделать название почтового адреса отправителя похожим на легитимный почтовый ящик для подобных рассылок. Низкое качество такой атаки компенсируется низкой стоимостью ее реализации.

«Мошенники не первый год используют криптовалюту при реализации схем. При этом они постоянно придумывают все новые подходы для обмана пользователей. Мы призываем сохранять внимательность. При важных изменениях в работе сервисов организации, как правило, заранее информируют пользователей о нововведениях и публикуют новости на официальном сайте. Проверяйте официальные источники и всегда обращайте пристальное внимание на адрес отправителя. В случае сомнений всегда можно связаться со службой поддержки компании и уточнить информацию», — рассказал Дмитрий Кирюшкин, руководитель BI.ZONE Brand Protection.

«От подобных атак сегодня не застрахована ни одна компания, так как для их проведения кибермошенникам достаточно наличия одного пререквизита — у компании должны быть клиенты. При этом информация о регистраторе, у которого обслуживается домен, общедоступна, ее можно посмотреть в открытых данных. Мы регулярно проводим мониторинг и оперативно блокируем подобные мошеннические активности, в том числе в тесном контакте с нашими пользователями. Рег.ру как крупнейший игрок рынка является активным участником ИБ‑сообщества — мы ежедневно взаимодействуем с компаниями в сфере информационной безопасности», — добавил Сергей Журило, директор по информационной безопасности Рег.ру.