Мошенники подставили Ru-Center

От имени регистратора доменов Ru-Center (АО "Региональный сетевой информационный центр") произошла мошенническая рассылка с требованием оплатить услугу продления домена. Как говорят эксперты по кибербезопасности, зловредная ссылка, содержащаяся в письме, скорее всего, потребовала бы ввести учетные данные клиента Ru-Center. После получения информации об управлении доменом злоумышленники попытались бы "украсть сайт", а затем потребовать выкуп с владельцев.

На прошлой неделе от имени регистратора доменов Ru-Center произошла рассылка с предложением оплатить услугу продления домена. Сайт редакции ComNews.ru также стал мишенью хакеров. В письме была кнопка, по которой предполагалось кликнуть для перехода по ссылке с оплатой. После звонков по указанным в письме телефонам сотрудников редакции перенаправили в Ru-Center. Технический сотрудник Ru-Center, выслушав проблему, с которой мы столкнулись, развеял сомнения, сообщив, что письмо разослали мошенники.

Технический директор Check Point Software Technologies в России и СНГ Никита Дуров предположил, что по указанной в письме ссылке нужно было ввести учетные данные клиента Ru-Center. "Получив учетные данные управления доменом, злоумышленники могут заполучить доменную запись - другими словами, "украсть сайт". Мошенники могут как перенаправлять трафик с сайта, так и требовать выкуп с владельцев - сумма может доходить до нескольких сотен долларов", - рассказывает  Никита Дуров.

Руководитель CERT Group-IB Александр Калинин напомнил ComNews о том, что Ru-Center никогда не требует подтвердить право на домен указанным выше способом, не запрашивает у клиентов пароли в электронных письмах, не размещает формы оплаты услуг на сторонних ресурсах, а сообщения об изменениях всегда сопровождаются ссылками на оригиналы документов, публикуемые на сайте.

Директор Координационного центра доменов .RU/.РФ Андрей Воробьев пояснил ComNews, что в данном случае речь идет о фишинге. Под ним чаще всего понимаются или мошеннические сайты, которые можно принять за другие известные (сайты банков, платежных систем, игровых порталов), или подобные рассылки, проведенные якобы от имени различных сервисов. Андрей Воробьев, ссылаясь на статистику проекта "Нетоскоп" (собирает и анализирует информацию о противоправном использовании доменных имен), сказал, что в 2018 г. более половины всех нарушений были связаны именно с фишингом.

Опрошенные ComNews регистраторы доменов признают, что проблема мошеннических рассылок действительно актуальна. Руководитель департамента по работе с клиентами Ru-Center Янина Зеегофер подтверждает, что отправка поддельных писем от лица компаний - частое явление. "Мошеннические письма получают клиенты почти всех крупных российских регистраторов доменов, а также банков и мобильных операторов. Подобные письма рассылаются мошенниками по адресам, находящимся в открытом доступе", - говорит она.

Исполнительный директор Reg.ru Светлана Лиенко говорит о том, что ежедневно компания получает сообщения или читает посты клиентов в соцсетях о таких письмах. "Важно понимать, что система регистратора защищена надёжно и персональные данные клиентов недоступны третьим лицам. Единственная возможность единичной утечки - если доступы от личного кабинета были скомпрометированы самим пользователем. Например, он использует один и тот же пароль для всех своих аккаунтов на разных сайтах. Мошенники взламывают один аккаунт, пробуют использовать доступы на нашем сайте, заходят в личный кабинет и узнают пароль", - приводит пример она.

Еще одна схема, которой могут пользоваться злоумышленники, добавляет представитель Reg.ru, - это просмотр всех страниц какого-либо сайта и направление письма на найденный контактный e-mail. Другой источник данных, продолжает Светлана Лиенко, - сервис Whois. "Например, для адресов в национальных доменах .RU и .РФ, зарегистрированных ранее 2011 г. (когда было введено сокрытие персональных данных), делается запрос истории Whois, где узнают, какие данные были введены при регистрации домена, где есть в том числе и e-mail. Сейчас для всех физических лиц, регистрирующих домен, автоматически действует Private Person", - поясняет она.

 Говоря о возможном ущербе, в Positive Technologies сказали, что злоумышленники просят заплатить стандартные суммы продления доменов (сотни рублей). По словам эксперта лаборатории практического анализа защищенности компании "Инфосистемы Джет" Екатерины Рудой, сумма может варьироваться от 500 до 5000 руб. Представитель "Доктора Веба" отмечает, что злоумышленники могут требовать сумму, совпадающую с оплатой за продление домена. Аналитик ГК InfoWatch Андрей Арсентьев добавляет, что слишком большие суммы злоумышленники запрашивают редко, потому что это может вызвать подозрение того, кого пытаются поймать на крючок. "Расчет здесь на слабости человеческой натуры - беспечность, невнимательность, выполнение многих рабочих операций на автомате. Кроме того, мошенники, как это ни печально, эксплуатируют такое качество, как обязательность. Многие люди привыкли точно в срок платить по счетам и торопятся сделать платёж, когда им напоминают о нём", - говорит он.

Но есть варианты, которые могут привести к гораздо худшим последствиям, предупреждает эксперт "Доктора Веба". "Самое опасное - они получают данные кредитной карты жертвы и могут самостоятельно провести транзакцию на любую сумму", - приводит пример директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. Сами по себе фишинговые письма продолжают оставаться наиболее эффективным средством атаки: они используются в среднем в каждой третьей атаке. Старший спам-аналитик "Лаборатории Касперского" Мария Вергелис замечает, что увеличение доли фишинга в спам-трафике происходит последние второго-третьего года. Более того, специалист InfoWatch отмечает, что в Рунете некоторые преступники поставили на поток отслеживание сроков истечения регистрации доменов. Узнав электронную почту владельцев сайта, мошенники пытаются обмануть компании и выманить нужную сумму.

Технический директор Qrator Labs Артем Гавриченков говорит о том, что письма с требованием оплатить услугу продления домена - лишь вершина айсберга. Помимо этого, существуют различные рассылки, содержащие, например, требование оплатить попадание ресурса в поисковые системы. "Более того, подобное письмо якобы от Ru-Center может прийти не с требованием оплаты, а с нейтральным запросом, не вызывающим подозрений, в частности естественной финансовой настороженности, - например, всего лишь обновить контактные данные - но срочно, за два-три дня, - в противном случае домен будет удален. Человек проходит по такой ссылке и даже не настораживается, поскольку никакой оплаты от него не требуется. Фейковая ссылка ведет на поддельный сайт Ru-Center или другого DNS-регистратора, где человек вводит свой логин и пароль, и дальше, если у него нет двухфакторной аутентификации, домен уводится к злоумышленнику, а компании предлагают заплатить за его возврат. В этом случае суммы будут уже очень существенными - эквивалентными оплате домена примерно за 10-50 лет, тогда как в фишинговых письмах сумма выкупа обычно приравнивается к оплате за период от года до пяти лет", - приводит пример специалист Qrator Labs.

Глава Координационного центра доменов .RU/.РФ посоветовал бороться с таким видом мошенничества одновременно с разных сторон. "Пользователям следует обращать внимание на доменное имя, по которому открылся сайт или с которого пришло электронное письмо. Если оно написано с ошибкой или никогда не встречалось ранее, то такому сайту или письму ни в коем случае нельзя доверять, - говорит он. - Помимо этого, о каждом таком случае необходимо сообщать в правоохранительные органы или в специальные организации, которые занимаются вопросами информационной безопасности: они постоянно мониторят все сетевые инциденты и могут оперативно прекратить работу такого ресурса". Специалист "Инфосистем Джет" порекомендовала регистраторам регулярно делать информационные рассылки об атаках методами социальной инженерии, оперативно реагировать и извещать пользователей о фишинговых рассылках.