Мошенничество с помощью социальной инженерии


В данной статье я хочу рассказать про реальный случай использования социальной инженерии с целью мошеннического метода получения денег.

В папку СПАМ моей почты попало письмо следующего содержания:

Уважаемый администратор домена!

Уведомляем Вас о том, что оплаченный срок регистрации домена ******.ru истек. Вам необходимо оплатить услугу продления домена в течение одного рабочего дня с момента получения настоящего сообщения.

Перейти к оплате

Обращаем Ваше внимание на то, что если в указанный срок оплата не будет произведена, обслуживание домена будет приостановлено. Домен будет удален из реестра и может быть зарегистрирован иным лицом.

После такого сообщения любой владелец домена побежит платить за него, т.е. продлевать чтоб не потерять свой домен (сайт), но нас должно насторожить два момента.

  1. Наличие перечёркнутого замка в области отправителя (это говорит о подделке адреса отправителя) и сам адрес отправителя. Вряд ли отправлять свою почту компания Рег.ру станет с домена не reg.ru.
  2. Текст самого сообщения, а в частности «Вам необходимо оплатить услугу продления домена в течение одного рабочего дня с момента получения настоящего сообщения.» Обычно после завершения срока продлевания домена у нас есть ещё целый месяц, чтоб его продлить, хотя сайт с нашим доменом будет недоступен после завершения оплаченного срока.

Если посмотреть свойства письма, то можно увидеть что письмо отправлено с серверов ht-systems.ru, а сам отправитель якобы reg.ru. Поэтому и яндекс указал нам о подделке письма с помощью значка жёлтого перечёркнутого замка.
Мне стало интересно, что будет если кликнуть по ссылке. Обычному пользователю не рекомендую этого делать, так как очень высока вероятность заразить компьютер каким-нибудь вирусом. Если очень хочется кликнуть, то нужно изучить адрес ссылки и если это безопасный сайт, например, яндекс, мейл ру и т.д., то можете перейти по ней. Если это какой-то неизвестный домен, то для перехода по ссылке обязательно отключите выполнение джава скриптов в браузере. Так как у меня по-умолчания js отключены (а также flash, pdf и всё остальное), то я и не смотрю ссылку и без опасения могу переходить по ней. После перехода я оказался на сайте яндекс денег.

Меня сразу насторожило 2 факта

  1. Сумма оплаты — 4540₽, для домена в ru зоне цена чересчур завышена.
  2. Предупреждение яндекс денег «Вы платите физическому лицу Будьте внимательны: сейчас вы платите не компании, а человеку. Деньги поступят в личный кошелёк, дальше всё зависит от добросовестности получателя»

Единственное непонятно почему нет кнопки в яндекс деньгах «пожаловаться на мошенничество». Также я не нашёл обратную связь, только номер телефона «ЕСЛИ У ВАС ВОПРОСЫ».

Такой способ мошенничества с помощью социальной инженерии давно практикуется в доменной зоне «com». Там я постоянно получаю письма о том, что якобы срок моего домена истёк и нужно его продлить. Думаю это связано с тем, что информация о владельце домена и соответственно его почта доступны любому человеку через whois. Так как в доменной зоне «ru» по закону эта информация скрыта, то я не получал таких писем. Это письмо первое за 13 лет.

P.S. Мой совет — никогда не платите по ссылке из почты, лучше авторизоваться на сайте, оказывающем услугу, и через него оплатить.

Поделиться в: