Специалисты Bi.Zone Brand Protection и Bi.Zone Mail Security совместно с провайдером и регистратором доменов «Рег.ру» обнаружили новую мошенническую схему phantom donation. Злоумышленники рассылали электронные письма от имени «Рег.ру», в которых требовали пополнить баланс с использованием криптовалюты для продолжения использования сервисов. Подобная схема объяснялась санкциями, наложенными на российские веб-хостинг-услуги.
Для оплаты мошенники предлагали пользователям перейти по ссылке на один из легитимных сервисов платежей в криптовалюте. Таким образом, пользователь оказывался на странице оплаты с упоминанием reg.ru в адресе. Однако вместо услуг хостинг-провайдера деньги перечислялись мошенникам на их баланс, так как предлагалась только опция добровольной оплаты.
На самой платформе для оплаты, в разделе «База знаний», указано, что верификация пользователей (KYB/KYC) требуется только в редких случаях. Благодаря этому мошенники могли обеспечить анонимность своих операций. Несмотря на то, что платежные данные пользователей оставались в безопасности, они жертвовали деньги не на продление услуг, а мошенникам.
В электронных письмах использовался устаревший фирменный стиль и предыдущее название компании — REG.RU, изменённое на «Рег.ру» в 2023 году. Также адрес отправителя не имел отношения к официальному домену регистраторов. Это указывает на распространённую практику, при которой мошенники лишь имитируют бренд и визуальные элементы, без усилий на создание доверительного почтового адреса.
Как отметил Дмитрий Кирюшкин, руководитель Bi.Zone Brand Protection, мошенники уже давно используют криптовалюту для реализации своих схем. Он призывает пользователей сохранять внимательность: «При важных изменениях в работе сервисов организации обычно заранее информируют пользователей и публикуют новости на официальном сайте. Проверяйте источники и внимательно относитесь к адресу отправителя», — добавил он.
Сергей Журило, директор по информационной безопасности «Рег.ру», также указал, что атаки такого рода могут затронуть любую компанию с клиентской базой. Информация о регистраторе общедоступна, и «Рег.ру» активно мониторит мошеннические активности, работая в тесном контакте с пользователями и другими компаниями в сфере информационной безопасности. Несмотря на низкое качество таких атак, их эффективность остаётся высокой, что делает их популярными среди злоумышленников.