Фантомные донаты: злоумышленники используют REG.RU для криптообмана

Специалисты BI.ZONE совместно с провайдером и регистратором доменов Рег.ру выявили новую мошенническую схему phantom donation. Злоумышленники рассылали электронные письма от имени Рег.ру, требуя от пользователей пополнить баланс с использованием криптовалюты, ссылаясь на «санкции, наложенные на российские веб-хостинг-услуги».

Для оплаты предлагалось перейти по ссылке на легитимный сервис платежей в криптовалюте. В адресе страницы содержалось упоминание reg.ru, создавая у пользователей впечатление официального ресурса. Однако платежи осуществлялись через механизм donation, означающий добровольное пожертвование, а не оплату услуг хостинг-провайдера. В итоге деньги поступали мошенникам.

Особенностью схемы было использование реальной криптовалютной платформы, а не фишингового сайта, что исключало компрометацию платежных данных, но приводило к финансовым потерям. Платежная система не требовала верификации пользователей (KYB/KYC), кроме случаев подозрительных транзакций, что обеспечивало мошенникам анонимность.

Электронные письма содержали устаревший фирменный стиль и прежнее название компании REG.RU, измененное на Рег.ру в 2023 году. Адрес отправителя не имел связи с официальными доменами Рег.ру. Мошенники подделали визуальное оформление писем, но не создавали схожий почтовый адрес, что позволило им минимизировать затраты на атаку.

Эксперты отмечают, что злоумышленники продолжают адаптировать схемы с использованием криптовалюты. Они рекомендуют пользователям проверять информацию только на официальных сайтах сервисов, обращать внимание на адреса отправителей электронных писем и при возникновении сомнений обращаться в службу поддержки компании. Также подчеркивается, что сведения о регистраторах доменов находятся в открытом доступе, что дает злоумышленникам возможность использовать их в мошеннических схемах.