Новости доменной индустрии
Фишинг с большой дороги: мошенники массово создают поддельные сайты оплаты проезда
Специалисты компании F6 обнаружили разветвлённую инфраструктуру вредоносных доменов, выдающих себя за официальные сервисы оплаты транспортных услуг.
Так, одна из сетей, созданных злоумышленниками, включала 39 доменов, в том числе для оплаты проезда по Московскому скоростному диаметру, платным дорогам Санкт-Петербурга, Вознесенскому тракту в Казани и скоростным автодорогам России. Большинство из мошеннических сайтов появились в мае 2025 года.
Обнаруженные сайты визуально похожи на официальные ресурсы и свободно индексируются в поисковых системах. Один из вредоносных доменов, предлагающий оплатить проезд по Московскому скоростному диаметру, оказался даже на верхних строках поисковой выдачи.
Схема работает следующим образом: после ввода данных о личном автотранспорте — госномера автомобиля или номера транспортной карты — пользователю отображается «задолженность», которую требуется оплатить. Затем ресурс запрашивает платёжные данные — номер банковской карты, срок действия, CVV. Причём при вводе данных карты ресурс отправляет запрос на подтверждение с помощью SMS, повышая правдоподобие схемы. Опасность в том, что после ввода реквизитов банковской карты и суммы платежа деньги списываются, данные банковской карты также остаются в руках у мошенников и могут использоваться повторно.
Согласно данным УБК (Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий) МВД России, максимальный ущерб от подобного вида фишинга превысил 22 тысячи рублей.
Три года назад эксперты F6 уже находили аналогичную сеть из 36 фишинговых ресурсов, больше всего из них действовали под видом сайтов пополнения счёта петербургской транспортной карты «Подорожник». Причём, если жертвы неохотно оплачивали «проезд» по автодорогам, злоумышленники меняли на сайте «начинку» на оплату штрафов ГИБДД.
В центре внимания – кибербезопасность!
14-16 сентября 2025 года в Калининграде состоялась 18-я Международная конференция администраторов и регистраторов национальных доменов верхнего уровня стран СНГ, Центральной и Восточной Европы (TLDCON 2025), организованная Координационным центром доменов .RU/.РФ. Второй день деловой программы конференции был посвящён вопросам кибербезопасности. Участники рассказывали о применяемых практиках борьбы с киберугрозами и рассматривали возможность и необходимость разработки новых политик, призванных обеспечить нормативную базу снижения злоупотреблениями DNS.
Недавно институт Net Beacon выпустил пакет рекомендаций, направленных на снижение количества злоупотреблений DNS. В частности, регистраторам рекомендуется проверять домены, связанные с регистрантом, если хотя бы один из зарегистрированных им доменов замечен в злоупотреблениях. Ольга Баскакова (Координационный центр доменов .RU/.РФ) отметила, что подобный механизм реализован и успешно работает с 2012 года в рамках проекта Координационного центра «Нетоскоп». В отличие от представленной рекомендации, проверками связности доменов занимаются доверенные эксперты, работающие в области кибербезопасности, включая НКЦКИ.
«С нашей точки зрения, это более оправданная схема, т.к. не все регистраторы могут осуществлять должную экспертизу по выявлению связи. Каждый должен заниматься своим делом: регистратор – регистрировать домены, эксперты – выявлять противоправную активность и бороться с ней», – подчеркнула Ольга.
Далее участники TLDCON 2025 обсудили современный ландшафт киберугроз, отметив существенный рост угроз, связанных с распространением вредоносного ПО и появлением новых группировок злоумышленников. При этом активное распространение получает скам: домены со скамом блокируются значительно дольше, чем домены с фишингом – этим и пользуются злоумышленники. Станислав Гончаров (F6) сообщил, что в среднем на один бренд в 2025 году приходилось 2299 фишинговых ресурсов и 1238 доменов со скамом.
Итоги секции подвел Антон Воронкин (НКЦКИ). Он отметил, что каждому важно быть осведомлённым о текущей ситуации, и только обобщение информации, полученной от многих экспертов по кибербезопасности, может помочь принять адекватные меры. Хорошим помощником в этом он назвал проект КЦ «Доменный патруль». В заключение Антон призвал регистраторов, компетентные организации и владельцев информационных ресурсов к объединению усилий.
Названы общие домены верхнего уровня, чаще всего используемые организаторами фишинговых атак
Компания Interisle, исследующая вопросы кибербезопасности, опубликовала очередной выпуск своего ежегодного отчёта Phishing Landscape report. Он основывается на данных о фишинговых атаках от организаций Anti-Phishing Working Group (APWG), OpenPhish, PhishTank и Spamhaus и обобщает сведения примерно четырёх миллионов сообщений о фишинге за период с мая 2024 по апрель 2025 года.
Число доменных имён, ассоциированных с фишингом, выросло за это время на 38% по сравнению с тем же периодом годом ранее. Доля фишинговых имён в общих доменах .com/.net и национальных доменных зонах сократилась — с 37% до 32% и с 15% до 11% соответственно. А вот новые общие домены верхнего уровня демонстрируют крайне негативную динамику. Так, в 2021 году на их долю приходилось 9% всех зарегистрированных в мире доменных имён и 21% имён, ассоциированных с фишингом. С тех пор доля рынка новых доменов выросла всего лишь до 11%, а вот их доля в фишинге – до 51%.
И хотя в абсолютных цифрах лидером остаётся, разумеется, домен .com (455 297 жалоб на фишинг), объясняется это исключительно тем, что домен является абсолютным лидером рынка, многократно опережая всех конкурентов по количеству регистраций. Если же смотреть на соотношение общего числа зарегистрированных имён и числа имён, ассоциированных с фишингом, то картина получается совсем иная — и крайне печальная. В домене .xin, например, на момент подготовки отчёта были зарегистрированы 42 724 имени и 42 681 из них было упомянуто в жалобах на фишинг. Таким образом, уровень фишинга в доменной зоне является практически стопроцентным. Почти аналогичные показатели и в доменных зонах .bond, .cfd, .today и .lol.
Если говорить о компаниях-регистраторах, то максимальный процент фишинговых регистраций у NiceNic, Aceville, Dominet, Webnic и OwnRegistrar. Ну а главной «приманкой» для организаторов фишинговых атак из года в год остаётся цена регистрации имени. Чем она ниже, тем выше вероятность, что домен будет зарегистрирован с неблаговидными целями.
Новые домены показали выдающийся рост, но это вряд ли повод для радости
Начало лета 2025 года принесло значительный рост числа регистраций в некоторых новых общих доменах верхнего уровня. Лидерами по этому показателю стали домены .watch, .yachts, .autos, .irish, .boats и .qpon. Показатели роста в них колеблются в пределах от 50% до 73% по сравнению с данными файлов зон на конец мая. Казалось бы, стоит порадоваться достигнутым успехам, но в действительности поводов для радости не слишком много.
Бурный рост числа регистраций почти всегда связан с промо-акциями и снижением цен в доменной зоне. А этим практически всегда пользуются злоумышленники для автоматической массовой регистрации доменных имён. Хорошим примером может служить домен .autos, управляемый регистратурой .xyz. На протяжении июня стоимость годовой регистрации имени в нём не превышала двух долларов. За месяц число регистраций выросло более чем на 51 тысячу. Но достаточно беглого взгляда, чтобы убедиться: большинство этих регистраций составляют такие доменные имена, как yqtsfg.autos, rgwydp.autos или l2xnnu7.autos, которые решительно невозможно ни запомнить, ни произнести. Аналогичная ситуация и в домене .yachts: как сообщает ресурс Domain Incite, из 33 620 зарегистрированных в нём в июне новых имён 27 335 имеют в своём составе произвольные наборы цифр.
Вполне очевидно, что ни одному человеку просто не придёт в голову регистрировать такие доменные имена. Но их и регистрируют не люди, а настроенные злоумышленниками алгоритмы. В дальнейшем такие «одноразовые» домены используются для фишинга, распространения спама, вредоносного ПО и других противоправных действий. Можно согласиться с тем, что иногда автоматическая массовая регистрация доменов осуществляется и с благими целями, например, исследовательскими. Но в подавляющем большинстве случае цели всё же другие.
Не так давно представители Правительственного консультативного комитета настоятельно рекомендовали ICANN выработать меры, способные поставить заслон на пути массовых автоматических регистраций. И июньские итоги в очередной раз подтверждают, что такая необходимость действительно существует.