В данной статье я хочу рассказать про реальный случай использования социальной инженерии с целью мошеннического метода получения денег.
В папку СПАМ моей почты попало письмо следующего содержания:
Уважаемый администратор домена!
Уведомляем Вас о том, что оплаченный срок регистрации домена ******.ru истек. Вам необходимо оплатить услугу продления домена в течение одного рабочего дня с момента получения настоящего сообщения.
Перейти к оплате
Обращаем Ваше внимание на то, что если в указанный срок оплата не будет произведена, обслуживание домена будет приостановлено. Домен будет удален из реестра и может быть зарегистрирован иным лицом.
После такого сообщения любой владелец домена побежит платить за него, т.е. продлевать чтоб не потерять свой домен (сайт), но нас должно насторожить два момента.
- Наличие перечёркнутого замка в области отправителя (это говорит о подделке адреса отправителя) и сам адрес отправителя. Вряд ли отправлять свою почту компания Рег.ру станет с домена не
reg.ru. - Текст самого сообщения, а в частности «Вам необходимо оплатить услугу продления домена в течение одного рабочего дня с момента получения настоящего сообщения.» Обычно после завершения срока продлевания домена у нас есть ещё целый месяц, чтоб его продлить, хотя сайт с нашим доменом будет недоступен после завершения оплаченного срока.
Если посмотреть свойства письма, то можно увидеть что письмо отправлено с серверов ht-systems.ru, а сам отправитель якобы reg.ru. Поэтому и яндекс указал нам о подделке письма с помощью значка жёлтого перечёркнутого замка.
Мне стало интересно, что будет если кликнуть по ссылке. Обычному пользователю не рекомендую этого делать, так как очень высока вероятность заразить компьютер каким-нибудь вирусом. Если очень хочется кликнуть, то нужно изучить адрес ссылки и если это безопасный сайт, например, яндекс, мейл ру и т.д., то можете перейти по ней. Если это какой-то неизвестный домен, то для перехода по ссылке обязательно отключите выполнение джава скриптов в браузере. Так как у меня по-умолчания js отключены (а также flash, pdf и всё остальное), то я и не смотрю ссылку и без опасения могу переходить по ней. После перехода я оказался на сайте яндекс денег.
Меня сразу насторожило 2 факта
- Сумма оплаты — 4540₽, для домена в ru зоне цена чересчур завышена.
- Предупреждение яндекс денег «Вы платите физическому лицу Будьте внимательны: сейчас вы платите не компании, а человеку. Деньги поступят в личный кошелёк, дальше всё зависит от добросовестности получателя»
Единственное непонятно почему нет кнопки в яндекс деньгах «пожаловаться на мошенничество». Также я не нашёл обратную связь, только номер телефона «ЕСЛИ У ВАС ВОПРОСЫ».
Такой способ мошенничества с помощью социальной инженерии давно практикуется в доменной зоне «com». Там я постоянно получаю письма о том, что якобы срок моего домена истёк и нужно его продлить. Думаю это связано с тем, что информация о владельце домена и соответственно его почта доступны любому человеку через whois. Так как в доменной зоне «ru» по закону эта информация скрыта, то я не получал таких писем. Это письмо первое за 13 лет.
P.S. Мой совет — никогда не платите по ссылке из почты, лучше авторизоваться на сайте, оказывающем услугу, и через него оплатить.