Мошенничество с продлением доменов. Откуда у них нужный e-mail? И как их блокировать?

Вчера в 12 ночи ошарашенный клиент присылает скрин с вопросом: «Продлевать?»

Такие письма под видом регистратора доменов присылают мошенники, они очень похожи на оригинальные письма по дизайну, шрифтам, но при оплате деньги уходят не регистратору, а мошенникам.

В чем суть?

Клиент каждый год продлевает домен (домен — это имя сайта, формата mysite.ru), напоминание о том, что заканчивается срок продления обычно приходит по почте.

Мошенничество в таком формате скорее всего часто срабатывает, потому как люди даже если полгода назад продлили домен, получая такое письмо думают, что время пришло и оплачивают. Сумма небольшая, в суд никто не идет, а кто то и вовсе не догадывается, что их развели.

В этом письме все признаки разводки:

1. Компании не пишут за 7 часов до удаления домена. Они присылают информационные письма за месяц, за 10 дней. И потом еще месяц напоминают, потому как по окончанию срока домен не сразу удаляется, а еще есть 30 дней до того как он станет общедоступным для регистрации.

2. Компании не пишут «Срочно продлить домен». Не продлите вы, его заберет кто то другой, если ресурс был хорошим, то заберут обязательно!

3. Клиент говорит, что прислали письмо в полночь, когда он уже вымотался за день и «соображалка» выключалась. Боязнь потерять сайт на столько велика, что на всякий случай проще отдать 1 000 ₽, даже если это мошенники, так для перестраховки.

То, что мошенники так поступают известно не первый год. Но вчерашний случай навел на такой вопрос:

Откуда у мошенников данные о почте и имени домена, зарегистрированный на него?

Не в первые раз ко мне обращаются клиенты с тем, что получили такие письма. Кто то оплачивал.

Вся информация о контактных данных в зоне. ру по умолчанию скрыта.

Это письмо мы получили якобы от reg.ru хотя регистратор домена — Nethouse. Правильно ли предположить, что данные слили именно у нетхауса или есть еще способы раздобыть эту информацию?

На том же нетхаусе у меня тоже есть домен, но такие письма не получал. Какой то избирательный подход получается. При этом взял один из своих домена tarify-rko.ru и попытался разными сервисами пробить e-mail на который он зарегистрирован. Не получилось.

Единственный способ бороться с ними — писать тем, у кого у них подключен эквайринг и попросить блокировать?

UPD. В комментах посовещались. Видимо все очень просто

Парсером собирают с сайта адрес почты в контактах, связывают его с доменом и шлют письма. Возможно никакого слива и нет.

0
22 комментария
Написать комментарий...
Solarex Lotos

Единственый способ - включать мозги и совершать все операции через личные кабинеты компаний-продавцов услуг, собственноручно вводя логин\пароль, а не по сомнительным ссылкам в почтовых сообщениях.

Ответить
Развернуть ветку
Азамат office-health.app
Автор

Все верно пишите!
Нюанс в том, что это мне прислал руководитель компании, которому пришло письмо в полночь. Мошенники прислали именно в это время, потому что
- Пароли у программиста, ночью он его тревожить не станет, а к утру домен может уйти.
Если бы я отмашку не дал - он бы перешел по ссылке и оплатил.

Ответить
Развернуть ветку
Solarex Lotos

На физлице что-ли домен? Так то, по уму, не программиста будить надо, а бухгалтера, мол., регулярный платёж пропустили, ахтунг! А бухгалтер глянет в ведомость и ответит, что всё оплачено ещё на квартал, либо партнёрам надо сверку делать, либо лажа какая-то.

Ответить
Развернуть ветку
Азамат office-health.app
Автор

в 12 ночи будить бухгалтера?

Ответить
Развернуть ветку
Solarex Lotos

Он у вас работает или на работу только ходит?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Азамат office-health.app
Автор

В зоне .ру они все по умолчанию скрыты. Тот домен тоже в зоне ру был и данные у него скрыты. Все таки где то слили. И видимо все таки регистратор домена слил?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Азамат office-health.app
Автор

Вариант. Уточню у клиента на какую почту он регистрировал и какая у него в контактах. С другой стороны, можно парсить с контактов и указывать в письме этот домен. Видимо так и работает

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Denis Odinets

а сколько лет домену, просто флажок приватная персона, не всегда был по умолчанию.

Ответить
Развернуть ветку
Азамат office-health.app
Автор

Тот домен по которому письмо пришло - лет 5. https://tarify-rko.ru около 2-х лет. И там и там по умолчанию данные скрыты были

Ответить
Развернуть ветку
Невероятный Блондин

Поэтому я закидываю на баланс хостера сумму достаточную для продления на год/два

Ответить
Развернуть ветку
Семен Переделкин

А потом этот хостер (точнее регистратор) автоматом спишет бабки за хуй пойми какую услугу, которую подключил автоматически, и ты потом внезапно узнаешь, что у тебя не хватает средств для продления домена.

Это я сейчас про пидорский ник.ру (руцентр), например.

Ответить
Развернуть ветку
Невероятный Блондин

Ушёл от этих пидоров. И теперь живу препиваючи ))

Тут рассказывал:
https://vc.ru/claim/275955?comment=3093732

Ответить
Развернуть ветку
Семен Переделкин

У меня в Бегете тоже около полуста рушек. По 169 покупка/продление без допговна. Надеюсь, не скурвится Бегет.

Ещё десяток у реселлера регру торчит.

Ответить
Развернуть ветку
Невероятный Блондин

Тьфу тьфу тьфу
Пусть живёт

Ответить
Развернуть ветку
Азамат office-health.app
Автор

- информирование о том, что и так бесплатно - 200 ₽
- техническая поддержка, которая и так бесплатно - 170 ₽
- услуга "быстрое оповещение", которое ничем не быстрее других - 200 ₽.
Итак, с вас плюсом 570 ₽. Как говорится с миру по нитке, в России конечно на новую яхту не соберется, но внукам по гелику подарить самое то.

Ответить
Развернуть ветку
Denis Odinets

На рынке существует, всего несколько регистраторов доменных имен, все остальные сотни это лишь их реселлеры, посредники, которые из-за того что покупают много доменов, получают партнерскую скидку, и у них цена всегда будет меньше чем в самого регистратора. Доступ к данным находится у основного регистратора, ну и конечно у того партнера через у которого ваши все домены и находятся. Значит где то жулики эти, смогли собрать данные или получили напрямую от таких же нечистых на руку сотрудников.

Ответить
Развернуть ветку
Азамат office-health.app
Автор

в fb написали несколько человек, что столкнулись с таким же, а один человек, что вчера получил такое же письмо. Может еще кто то такое же получил? Хочется понять у них разные регистраторы доменов или это один сливает

Ответить
Развернуть ветку
Sasha Step

Мне присылали с рег ру около месяца назад сразу пачку по письму на каждый домен. Но я такое сразу в спам, так что в детали не вникал

Ответить
Развернуть ветку
Cez@r

Очень обидно и печально, что компания REG.RU испортилась(((( Более 10 лет пользуюсь услугами и год за годом ухудшаются ситуация. Сегодня решил продлить домен на один год и перевел деньги на продление домена 1200 руб, а как только деньги поступили на счет сразу сняли 499 руб за услугу "Продление премиум пакета услуг DNS для домена my******.ru на 1 год". Несмотря на то, что услуга активна до 06.02.22 года. Открыл тикет №#698422 по данному инциденту, очень надеюсь, что деньги вернуть! Если не вернуть деньги, то не буду продлевать домен, на которого они сняли 499 руб премиум пакета услуг DNS.

Ответить
Развернуть ветку
19 комментариев
Раскрывать всегда