Компании BI.ZONE и Рег.ру предотвратили фишинговую атаку, направленную на владельцев сайтов. Мошенники рассылали письма, в которых требовали пополнить баланс с помощью криптовалюты, якобы для продления услуг хостинга.
Специалисты BI.ZONE Brand Protection и BI.ZONE Mail Security совместно с Рег.ру выявили новую схему мошенничества под названием phantom donation. Злоумышленники отправляли письма, маскируясь под Рег.ру, и требовали оплатить услуги хостинга криптовалютой, ссылаясь на санкции против российских веб-хостингов.
Для оплаты предлагалось перейти по ссылке на легитимный сервис для операций с криптовалютой. Пользователи попадали на страницу оплаты, где в адресе упоминался reg.ru. Однако оплата проходила через функцию donation (добровольное пожертвование), что позволяло мошенникам получать средства на свой счет, а не на счет хостинг-провайдера.
Мошенники не первый год используют криптовалюту при реализации схем. При этом они постоянно придумывают все новые подходы для обмана пользователей. Мы призываем сохранять внимательность.
«При важных изменениях в работе сервисов организации, как правило, заранее информируют пользователей о нововведениях и публикуют новости на официальном сайте. Проверяйте официальные источники и всегда обращайте пристальное внимание на адрес отправителя. В случае сомнений всегда можно связаться со службой поддержки компании и уточнить информацию».
Дмитрий Кирюшкин, руководитель BI.ZONE Brand Protection
Хотя платежные данные пользователей оставались в безопасности, так как оплата проводилась через проверенную платформу, деньги уходили мошенникам. На платформе указано, что верификация пользователей (KYB/KYC) требуется только в редких случаях подозрительных транзакций, что обеспечивает анонимность операций.
«От подобных атак сегодня не застрахована ни одна компания, так как для их проведения кибермошенникам достаточно наличия одного пререквизита — у компании должны быть клиенты. При этом информация о регистраторе, у которого обслуживается домен, общедоступна, ее можно посмотреть в открытых данных. Мы регулярно проводим мониторинг и оперативно блокируем подобные мошеннические активности, в том числе в тесном контакте с нашими пользователями. Рег.ру как крупнейший игрок рынка является активным участником ИБ‑сообщества — мы ежедневно взаимодействуем с компаниями в сфере информационной безопасности».
Сергей Журило, директор по информационной безопасности Рег.ру
В письмах использовался устаревший фирменный стиль и старое название компании — REG.RU, которое было изменено на Рег.ру в 2023 году. Адрес отправителя также не соответствовал официальному домену Рег.ру. Мошенники ограничились имитацией бренда и визуальных элементов, не затрачивая ресурсы на создание правдоподобного почтового адреса. Такие атаки, несмотря на низкое качество, остаются популярными из-за их дешевизны.