Как минимум 30,5 тыс. доменов международных и российских хостинг-провайдеров могут быть сворованы кибермошенниками для проведения вредоносных рассылок или финансового мошенничества, предупреждает Group-IB. Жертвами становятся владельцы забытых или недавно выкупленных доменных имен, которые хотя и оплачены и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту, выяснили в компании.
Например, сайт медкнижка-тверь.рф появился весной 2019 года для рекламы медицинских услуг, однако в августе на нем появилось объявление о фейковом опросе за вознаграждение 2020 руб. якобы от одного из крупных российских банков. Доменное имя ресурса было легальным и оплаченным до мая 2021-го, но у владельца истек срок действия хостинг-аккаунта, и этим воспользовались злоумышленники, рассказывают в Group-IB.
В компании предупреждают, что в группе риска находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту. Злоумышленники ведут базу таких доменов, и вся процедура «перехвата» занимает от 30 минут до нескольких часов. Если срок оплаты хостинг-аккаунта подходит к концу и продлевать его не планируется, владельцу следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени, рекомендует Group-IB.