Фишинг от «Рег.ру»: маленькое письмо с большими неприятностями

Опубликовано 4 года назад

Сегодня утром мне на почту пришло странное письмо от Рег.ру. Якобы я задолжал какие-то деньги, и мой аккаунт будет заблокирован. Покажу на «рабочем примере», что это такое и чем может обернуться.

Это не первый случай, такие письма приходят и под видом банков, операторов сотовой связи, интернет-провайдеров и т.п. А называется все это красивым английским словом «фишинг».

Что такое фишинг

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание и password — пароль) — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

Encyclopedia by Kaspersky
Фишинг от «Рег.ру»: маленькое письмо с большими неприятностями

Что не так с этим письмом

Если бы я получил это письмо на компьютер, я бы сразу навел курсор на ссылку и увидел, что ведет она не на Рег.ру, а на какой-то сомнительный сайт в итальянской национальной доменной зоне. Я бы не задумываясь удалил его и забыл.

Фишинг от «Рег.ру»: маленькое письмо с большими неприятностями

Но компьютера у меня под рукой не было, а тыкать с телефона по ссылкам не самое безопасное занятие. Даже с защищенного до зубов айфона — от излишней доверчивости некоторых граждан он не защитит, к сожалению.

Что мне бросилось в глаза, почему я засомневался в происхождении этого письма.

  • Письмо не на «фирменном бланке» компании.
  • Странное приветствие «Уважаемые клиенты, дорогие клиенты».
  • Странный стиль текста «Подробная информация об этой подвеске приведена ниже». Какая еще «подвеска»?
  • Отсутствие логики в тексте «Наша платежная система обнаружила, что срок действия вашего доменного имени истек, а не продлен, несмотря на наше предыдущее повышение». Когда платежные системы стали следить за продлением доменов?
  • Я привык, что весь текст в урлах всегда пишется на английском, на худой конец в транслитерации. Поэтому, этот французский «payement» с буквой «E» в середине мне бросился в глаза в первую очередь.

И еще пара моментов, которые напрочь разрушили все сомнения:

  • Я точно знаю, что этот домен я уже более десяти лет продляю стабильно перед Новым годом.
  • У меня на аккаунте куча доменов, хостинг, партнерка. Поэтому, я всегда контролирую, чтобы баланс был положительным и обязательно с запасом.
  • Я захожу в панель почти каждый день и примерно знаю свой баланс.

К сожалению, такой порядок далеко не у всех.
Рассылая подобные письма, мошенники рассчитывают в первую очередь на обычных, не особо продвинутых пользователей. Человек видит свой домен, ничего не подозревая кликает по ссылке, вводит свой логин, пароль и оплачивает выставленный счет.

Что будет, если кликнуть по ссылке

Скорее всего закончится все плохо, потому что по клику открывается фишинговый сайт «Рег.ру».

Фишинг от «Рег.ру»: маленькое письмо с большими неприятностями
Фишинговый сайт «Рег.ру».

Жертва вводит свой логин, пароль и все.

Если не используется двухэтапная аутентификация, считайте данные свои вы уже потеряли и злоумышленник получил доступ к управлению вашими доменами.

Но конкретно в данном случае цель злоумышленников более прозаичная — им нужно 500 рублей. Введя любой логин и пароль, пользователь сразу попадает на страницу оплаты банковской картой.

Фишинг от «Рег.ру»: маленькое письмо с большими неприятностями
Фишинговый сайт «Рег.ру» — оплата псевдоуслуг

Что в итоге

Итог этого небольшого письма может быть очень печальным. Всего лишь один клик может привести к потере всех доменов, сайтов, денег с карты. Конечно, приложив усилия, домены можно будет вернуть, но время, деньги и нервы вряд ли.

Кроме того, получив доступ к хостингу, корпоративной почте, злоумышленник может получить конфиденциальную информацию по вашему бизнесу: документы, контакты клиентов, партнеров, контрагентов. А это может обойтись очень дорого.

Как обезопасить себя

Не кликать по всем присылаемым ссылкам. Проверять реальный путь этих ссылок. В моем примере анкор ссылки ведет на Рег.ру, по факту же черт знает куда. Если кликнули и браузер не сообщил вам, что сайт фишинговый, все равно нужно проверить путь в адресной строке. Если это Рег.ру, домен должен быть reg.ru и никак иначе. Это элементарные правила сетевой гигиены, они должны соблюдаться всегда, везде и при любых обстоятельствах. Каким бы похожим не было письмо или сайт, все финансовые вопросы нужно решать, только удостоверившись в подлинности ресурса.

Иван Данилин
Автор Иван Данилин

Делаю сайты на Вордпресс с 2008 года, в том числе уникальные инструменты для решения сложных бизнес‑задач.

Подробнее
Комментарии
  1. Иван, добрый день! Спасибо за статью. Мне с эл. адреса R­­E­G RU пришло письмо:
    Уважаемый клиент!
    Уведомляем Вас о том, что период регистрации доменного имени свидетельство-профессиональной-квалификации.рф закончился. Вам необходимо оплатить услугу продления домена в течение одного календарного дня с момента получения настоящего уведомления.
    Оплатить
    Обращаем внимание, что если в указанный срок платеж не будет произведен, делегирование доменного имени будет завершено. Домен будет удален из реестра доменных имен и может быть зарегистрирован иным лицом.
    Я правильно понимаю, что это фишинг? Странный текст, reg.ru так не пишет
    • Людмила, добрый день!
      Учитывая что ваш домен продлен до июля следующего года — 100% фишинг.
      Кроме того, мне тоже приходило такое письмо с идентичным текстом и там отправитель совсем не Рег.ру (см. скрин)
      Фишинг Рег.ру
  2. Иван, привет! Спасибо большое за бдительность и за эту статью. У вас крутой блог)

    Просим вас скачать оригинал письма и отправить его нам в рамках тикет-системы: https://goo.gl/Yzi6kH
    Также просим отметить письмо как спам и занести адресата в чёрный список (если вы ещё не успели это сделать).

    А ещё у нас есть справочная статья, к которой вы, и каждый, кто получит подозрительное сообщение, может обратиться: https://www.reg.ru/support/domains/prodlenie-domena/ostorozhno-moshenniki-prisylayut-pisma-s-prosboy-prodlit-domen
Добавить комментарий