На почтовый ящик, указанный при регистрации доменов, неожиданно пришло письмо с темой «Домен *ТУТ_ИМЯ_ДОМЕНА* может быть удален из реестра» и следующим содержанием:
«Уважаемый клиент!
Сообщаем Вам, что оплаченный срок регистрации доменного имени *ТУТ_ИМЯ_ДОМЕНА* подошел к концу.
Вам необходимо оплатить продление домена в течение суток с момента получения настоящего письма».
Далее располагалась привлекающая внимание красная кнопочка с надписью оплатить и еще немного текста.
«Обращаем Ваше внимание на то, что если платеж не будет произведен в указанный срок, обслуживание домена приостановится. Домен будет удален из реестра и может быть зарегистрирован иным лицом».
Еще ниже были указаны данные регистратора домена с указанием ИНН, КПП, ОГРН, юридическим адресом – в общем, выглядело все очень солидно.
Однако при открытии панели управления доменами выяснилось, что продлевать доменное имя необходимо ровно через один год, то есть в этот же день, но текущего, а следующего года. Получается, письмо пришло из-за некоего сбоя у регистратора? Однако все оказалось гораздо проще.
При клике по ссылке «Оплатить» в письме открывается страничка, на которой нет ничего, кроме формы оплаты с банковской карты, причем, сумма платежа составляет аж 1045 рублей, хотя стоимость продления домена RU у большинства регистраторов на данный момент намного ниже.
Тут и возникает первое сомнение, почему ссылка из письма от якобы регистратора ведет не в панель управления доменами, а на пустую страницу с одной лишь формы оплаты?
Окончательно понятно стало после обращения внимания на адрес страницы с формой оплаты. Он выглядел так:
http://site.ru/wp-includes/images/media/subscribe/payment.php?id=8rx52bve1xvg43yl8uoj9v4k28ns60m6&8dp0zu
Как видим, панель оплаты почему-то располагается в служебной директории WordPress wp-includes 🙂 К еще более забавным последствиям привело открытие главной страницы сайта. Это оказался сайт какого-то лайф-коуча 🙂
В этот же день пришло еще одно письмо такого же рода, однако располагалась форма оплаты совершенно на другом сайте. Видимо, злоумышленники взломали множество web-ресурсов и используют их в своих целях.
В данном случае достаточно просто внимательно следить за тем, на каком сайте вы осуществляете оплату домена. Если вы откроете главную страницу web-ресурса и заметите, что там располагается нечто, не имеющее отношения к доменному регистратору, - это явный показатель того, что сайт взломан.
Кроме того, желательно самим вводить адрес панели регистратора в браузере, а не переходить по ссылкам из письма, которые могут вести не только на фишинговые странички, но и на всякого рода вирусные скрипты, которые могут заразить ваш компьютер, воспользовавшись «дырой» в браузере.
Меню сайта
Фишинговое письмо о продлении домена: осторожно мошенники! |