Как регистрация домена за 200 рублей спасла бренд от фишинга

от

История не про то, как мы купили домен за копейки и всех переиграли. Она про то, как легальный и дешёвый инструмент в руках злоумышленника превращается в оружие против твоего бренда, и почему единственный способ защититься — играть по тем же правилам, но на опережение. https://seberd.ru/4570

Как один несуществующий адрес стал угрозой

Угроза пришла не через уязвимость в коде, а через письмо. Контрагенты начали присылать скриншоты странных запросов на смену реквизитов. Адрес отправителя был почти наш: brand-domen.ru вместо brand-domain.ru. Разница в две буквы, которую глаз замечает не сразу. Мошенники не взламывали почту и не копировали сайт. Они просто зарегистрировали домен, похожий на наш, и начали рассылать письма от его имени.

Механика атаки строится на когнитивной ошибке: человек видит знакомое название и мозг автоматически «исправляет» мелкие несоответствия. Внимание концентрируется на содержании письма («срочно, иначе сорвётся сделка»), а не на адресной строке. Таким образом, угроза создаётся не техническим взломом, а использованием публичных правил интернета — системы доменных имён — против самой компании.

Почему киберсквоттинг работает в России

Причина в принципах работы доменной системы. Регистрация домена в зонах .ru или .рф, это коммерческая услуга, а не лицензионная деятельность. Регистратор не обязан проверять, похоже ли запрашиваемое имя на чей-то товарный знак. Его задача — проверить только техническую возможность и получить оплату. Это порождает практику киберсквоттинга — регистрации доменов, созвучных с известными брендами, с целью их последующей перепродажи или использования в мошеннических схемах.

В российском сегменте особенно распространены несколько тактик:

  • Тайпсквоттинг (Typosquatting): регистрация доменов с опечатками (например, yandddex.ru, где удвоена «d»).
  • Использование дефисов: сбер-банк.рф выглядит формально корректно, но не является официальным доменом.
  • Добавление служебных слов: газпром-онлайн-оплата.ру вводит в заблуждение, имитируя сервис.
  • Переход в альтернативные зоны: если основной бренд использует .ru, мошенник может зарегистрировать то же имя в .com, .site или .online, рассчитывая на автоматический ввод адреса пользователем.

Правовые механизмы противодействия, такие как процедура UDRP (для международных доменов) или её аналог в Координационном центре .RU/.РФ, существуют, но они не быстры. Процесс оспаривания требует доказательства прав на товарный знак и может занять несколько месяцев. За это время мошенник успеет нанести ущерб.

Двести рублей как страховой полис

Юридический путь был слишком долгим. Решение оказалось тактическим и техническим. Вместо борьбы с последствиями мы решили перекрыть один из очевидных векторов атаки. Проанализировали, как ещё можно исказить наше доменное имя, и составили список наиболее вероятных вариантов:

  1. Прямые опечатки (замена o/0, i/l/1).
  2. Транслитерация кириллического названия.
  3. Добавление популярных в фишинге слов: «оплата», «вход», «аккаунт».
  4. Комбинации с дефисами в разных местах.

Мониторинг показал, что один из ключевых вариантов, максимально похожий на уже использованный мошенниками, был ещё свободен. Его регистрация обошлась в 200 рублей за первый год. Этот домен был не просто «куплен». Он был привязан к нашей инфраструктуре и настроен на перенаправление (301 редирект) на основной официальный сайт. Теперь попытка перейти по адресу мошенников или по адресу с опечаткой вела пользователя на легитимный ресурс, лишая злоумышленников трафика.

Это не панацея, а точечное закрытие конкретной бреши. Но такой шаг дал время для разработки системного ответа.

Что делать дальше: не купить всё, а понять алгоритм

Скупать все возможные вариации домена — бессмысленная гонка. Защита должна быть многоуровневой и осмысленной.

Уровень 1: Проактивный мониторинг. Нужно автоматизировать поиск новых регистраций, похожих на ваш бренд. Для этого используются:

  • Специализированные коммерческие сервисы мониторинга доменов.
  • Самописные скрипты, использующие API регистраторов или публичные whois-сервисы для проверки по списку шаблонов.

Задача — не пропустить момент появления подозрительного домена, чтобы иметь возможность отреагировать до начала активной фазы атаки.

Уровень 2: Юридический фундамент. Если у бренда нет зарегистрированного товарного знака, шансы на быстрый успех в споре о домене стремятся к нулю. Товарный знак, это основной аргумент в административной процедуре изъятия домена у киберсквоттера.

Уровень 3: Коммуникационная безопасность. Самый важный и часто упускаемый элемент. Необходимо явно и регулярно информировать свою аудиторию — клиентов и партнёров — через доверенные каналы (официальный сайт, проверенные соцсети, email-рассылки по существующей базе) о том, как выглядит единственный настоящий домен компании. Это лишает фишинговые атаки их основы — доверия, построенного на незнании.

К чему приводит бездействие

Игнорирование угрозы доменного сквоттинга, это не просто ИТ-риск. Это комплексная бизнес-проблема с каскадными последствиями:

  • Прямые финансовые потери контрагентов. Деньги уходят мошенникам. Даже если удастся доказать факт мошенничества, процесс возврата средств через банки и правоохранительные органы может затянуться на месяцы.
  • Необратимый репутационный ущерб. Клиенты, попавшиеся на удочку, теряют доверие к бренду. В их восприятии виновата не бдительность, а компания, которая «допустила» существование подделки.
  • Эскалация. Успешная схема привлекает других злоумышленников. Вместо одного домена могут появиться десятки. Атаки могут перерасти из фишинга в создание фейковых сайтов с негативным контентом или имитацию службы поддержки для сбора данных.
  • Риски внимания регуляторов. Для компаний, работающих с персональными данными (152-ФЗ) или в критически важных отраслях, множественные инциденты мошенничества с использованием домена-двойника могут быть расценены как недостаточные меры по обеспечению безопасности информации. Это потенциальный повод для внеплановой проверки ФСТЭК или Роскомнадзора, особенно если в результате атаки произошла утечка данных клиентов.

Вывод: цена вопроса — не 200 рублей

Те 200 рублей, потраченные на домен,, это не стоимость защиты. Это цена осознания проблемы. Настоящие инвестиции, это время на построение системы мониторинга, ресурсы на юридическое сопровождение и постоянное внимание к цифровому периметру бренда.

В российском цифровом ландшафте, где правила регистрации доменов либеральны, а правоприменение требует времени, проактивная оборона становится необходимостью. Защита от доменного сквоттинга и фишинга, это уже не задача исключительно для службы информационной безопасности. Это задача для юридического департамента, PR-службы и топ-менеджмента, потому что удар наносится одновременно по финансам, репутации и правовому статусу компании. Контроль над своим цифровым именем перестал быть технической деталью. Он стал обязательным элементом корпоративной гигиены.

Оставьте комментарий