Фишинг хостингов и доменов в зоне .RU — случай из жизни

Опубликовано: 21 апреля 2018 года

Рубрика: Жизнь, Интернет, Информационная безопасность

К сожалению, спам и фишинг в интернете по-прежнему процветают.

На днях в отношении одного из доменов в зоне .RU, владельцем и администратором которого я являюсь, пришло вот такое письмо:

Уважаемый клиент!

В соответствии с поправками, внесенными в ICANN RAA, необходимо подтвердить, что фактическое управление доменом ******.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменным именем, создайте в корневой директории сайта файл 0qe848j73ag7i345. php со следующим содержимым:

Файл должен быть создан в течение трех рабочих дней с момента получения настоящего уведомления и находиться на сервере до 30 апреля 2018 года, 12:00 (UTC+03:00), в противном случае процедура верификации не будет пройдена.

Уведомляем Вас, что если процедура подтверждения не будет пройдена, делегирование доменного имени будет прекращено.

Причём это письмо пришло пришло не на адрес электронной почты администратора домена, который я для этих целей использую для своих доменов, а на совершенно другой электронный почтовый ящик — на адрес человека, субъекта той информации, которая была размещена на сайте, находящимся по адресу этого домена, некоторое время назад.

Сам адрес электронной почты, куда пришло это письмо, тоже был указан какое-то время назад на сайте в явном виде как контактный.

Само письмо мне переслали (спасибо вам, коллеги за это) с беспокойством за судьбу домена.

Я сначала, было, тоже как-то несколько удивился этому факту — угрозам блокировки домена в связи с не прохождением какой-то странной (сразу показалось) верификации и приходу такого письма на почту человека, который не является администратором домена (в панели управления доменом указан совершенно другой почтовый ящик). Вчера был рабочий день и много дел, было некогда. Поэтому решил отложить рассмотрение этого вопроса до сегодняшней субботы.

Сегодня изучил это письмо уже в спокойной обстановке и понял: это классический пример так называемого фишинга — вида интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей, логинам и паролям, в данном случае — от хостинга, где размещается сайт, и, возможно, панели администрирования этим доменом.

Но, на всякий случай, я обратился в техническую поддержу компании, услугами которой я пользуюсь в части регистрации и управления доменами. И получил вот такой ответ-подтверждение своему предположению:

Как вывод: никогда не реагируйте необдуманными действиями на такие сомнительные предложения и всегда перепроверяйте в подобных случаях всё то, что вам покажется странным!

В данном случае ничего и нигде не надо создавать и тем более размещать у себя на хостинге/сайте. Это элемент вредоносного кода (правда, в таком виде, как я его указал здесь, в цитировании — неработающего).

ICANN (Internet Corporation for Assigned Names and Numbers) — международная некоммерческая организация по управлению международными доменами .com, .net и других — действительно, не является и никогда не являлась организацией по управлению доменами в зоне .RU.

Кстати, посмотрите на первой картинке, откуда пришло письмо — судя по адресу, оно пришло, как будто-бы, действительно от компании — регистратора доменов в зоне .RU (компания r01 таковой является).

На это — повышенное внимание пользователя к письму, глядя на знакомый адрес — и рассчитывают всегда мошенники, подменяя настоящий адрес, откуда пришло письмо. Технически это сделать очень несложно.

Безопасного вам интернета, друзья!