Мошенническое письмо с требованием повторной проверки прав собственности на домен.

Неожиданные электронные письма с требованием срочных действий всегда следует воспринимать с осторожностью. Киберпреступники часто выдают себя за доверенные организации и регулирующие органы, чтобы создать ложное ощущение срочности и заставить получателей принимать поспешные решения. Письма с требованием повторной проверки прав собственности на домен являются ярким примером этой тактики. Исследователи в области безопасности выявили эти сообщения как часть фишинговой кампании, направленной на кражу учетных данных электронной почты. Важно отметить, что эти письма не связаны ни с какой законной компанией, организацией, регистратором доменов или регулирующим органом.

Замаскировано под официальное уведомление о соответствии требованиям.

Мошеннические электронные письма составлены таким образом, чтобы имитировать официальные уведомления о соответствии домена требованиям. Получателям сообщается, что их право собственности на домен не было подтверждено в течение последних 90 дней и что для соблюдения якобы установленных правил необходимо предпринять соответствующие действия. В сообщениях упоминается «Регламент ICANN 3.18» и предупреждается, что невыполнение процесса проверки приведет к приостановке как входящей, так и исходящей электронной почты в течение семи дней.

Язык, используемый в электронном письме, призван вызвать беспокойство и ощущение срочности. Угрожая перебоями в работе сервиса, мошенники пытаются убедить получателей действовать немедленно, не проверяя подлинность сообщения.

Фальшивый процесс переаттестации

В основе мошеннической схемы лежит кнопка, обычно с надписью «Подтвердите домен сейчас». Нажатие на эту кнопку перенаправляет пользователей на мошенническую страницу входа в веб-почту, замаскированную под легитимный почтовый портал.

Фишинговая страница имитирует экран входа в веб-почту Roundcube и размещена на платформе Google Firebase Storage. Чтобы страница выглядела более убедительно, адрес электронной почты жертвы может быть уже автоматически заполнен. Затем пользователям предлагается ввести свой пароль для продолжения якобы процесса подтверждения.

В действительности, эта страница служит лишь одной цели: сбору учетных данных для входа и их прямой передаче злоумышленникам.

Что происходит, когда учетные данные украдены?

Взлом почтовых аккаунтов может предоставить киберпреступникам доступ к значительному объему личной и деловой информации. Поскольку почтовые аккаунты часто связаны с многочисленными онлайн-сервисами, злоумышленники могут использовать украденные учетные данные для дальнейшего расширения своего доступа.

Получив контроль над учетной записью электронной почты, преступники могут:

• Читать конфиденциальные сообщения и секретную переписку.
• Сброс паролей для связанных онлайн-аккаунтов.
• Выдавать себя за жертву в общении с коллегами, клиентами, друзьями или членами семьи.

• Рассылайте дополнительные фишинговые письма с доверенного аккаунта.

• Сбор личной информации с целью кражи личных данных или финансового мошенничества.

Поскольку учетные записи электронной почты часто служат основным способом восстановления для других сервисов, взлом одного почтового ящика может привести к захвату нескольких учетных записей.

Почему эти утверждения ложны

Несколько признаков указывают на мошеннический характер этих электронных писем. В сообщениях предпринимается попытка использовать авторитет Корпорации по присвоению имен и номеров в интернете (ICANN), ложно утверждая, что повторная проверка доменов осуществляется посредством прямых уведомлений по электронной почте.

В действительности ICANN не рассылает отдельным пользователям незапрошенные сообщения с требованием повторной проверки домена. Более того, ни один авторитетный орган по регистрации доменов или уважаемый поставщик услуг не требует от пользователей подтверждения учетных данных для входа через ссылку, встроенную в неожиданно отправленное электронное письмо.

Имя отправителя, часто отображаемое в подобных сообщениях, «Глобальный центр проверки доменов», не имеет никакой признанной связи с ICANN, аккредитованными регистраторами или какой-либо законной организацией по управлению доменами. Весь этот сценарий сфабрикован для создания видимости доверия и обмана получателей.

Более масштабная угроза, выходящая за рамки кражи учетных данных.

Хотя основная цель этой кампании — сбор учетных данных, аналогичные мошеннические электронные письма часто используются и для распространения вредоносного ПО. Злоумышленники обычно используют атаки по электронной почте для доставки вредоносного программного обеспечения потенциальным жертвам.

В электронных письмах, содержащих вредоносное ПО, могут быть зараженные вложения или ссылки, ведущие на вредоносные веб-сайты. В таких атаках часто используются исполняемые файлы, PDF-документы, архивы, такие как ZIP или RAR, скрипты и документы Office, содержащие вредоносный код. В некоторых случаях пользователям предлагается включить макросы или другие функции, которые запускают процесс заражения.

Большинство вредоносных программ, распространяемых по электронной почте, требуют определенного взаимодействия с пользователем, например, открытия вложения, запуска загруженного файла, перехода по вредоносной ссылке или активации встроенного контента. Именно поэтому осторожность и проверка остаются крайне важными при работе с неожиданными сообщениями.

Как отвечать на эти электронные письма

Получателям электронных писем с сообщением «Требуется повторная проверка прав собственности на домен» следует избегать любого взаимодействия с этим сообщением. Не следует переходить по ссылкам, открывать вложения и ни в коем случае не следует отправлять личную информацию через страницы, на которые ведут ссылки из нежелательных электронных писем.

Наиболее безопасный вариант действий — немедленно удалить электронное письмо. Лицам, уже введшим свои учетные данные на фишинговой странице, следует незамедлительно сменить пароль от электронной почты, обновить пароли для всех учетных записей, которые могут использовать те же учетные данные, и включить многофакторную аутентификацию везде, где это возможно.

Заключительные мысли

Рассылка электронных писем с сообщением «Требуется повторная проверка прав собственности на домен» — это фишинговая афера, замаскированная под уведомление о соответствии требованиям ICANN. Ее цель — обманом заставить получателей предоставить свои учетные данные электронной почты через мошенническую страницу входа в веб-почту. Сообщения основаны на страхе, срочности и ложных заявлениях о регулировании, чтобы заставить жертв действовать без надлежащей проверки.

Понимание принципов работы этих мошеннических схем имеет решающее значение для защиты конфиденциальной информации. Проявляя скептицизм по отношению к неожиданным запросам, проверяя заявления через официальные каналы и избегая ссылок в нежелательных электронных письмах, пользователи могут значительно снизить риск стать жертвами кражи учетных данных и других киберугроз.