Oszustwa, informacje o zagrożeniach

Fałszywe wiadomości e-mail dotyczące przedłużenia domeny nakłaniają właścicieli stron internetowych do wpłacania pieniędzy oszustom

autor: Stefan Dasic | 25 czerwca 2026 r.
Inżynieria społeczna
Dodaj jako preferowane źródło w Google

Otrzymujesz wiadomość e-mail z ostrzeżeniem, że nazwa domeny Twojej strony internetowej wkrótce wygaśnie. „Odnów ją teraz” – głosi komunikat – „w przeciwnym razie Twoja strona internetowa i poczta e-mail mogą przestać działać”. Link otwiera profesjonalnie wyglądającą stronę, która zna już nazwę Twojej domeny, wyświetla nazwę rejestratora oraz datę wygaśnięcia i uruchamia licznik odliczający czas.

Wydaje się to pilne i osobiste, więc wydaje się prawdziwe.

Witryna o nazwie Renovarix nie zajmuje się odnawianiem domen. Zamiast tego przekierowuje odwiedzających przez szereg stron, na których gromadzone są dane osobowe, a w końcu również dane dotyczące płatności.

Fałszywe przedłużenie domeny

Jak działa oszustwo

Nazwy domen rzeczywiście tracą ważność, a utrata jednej z nich może stanowić poważny problem. Dla wielu osób i firm domena to coś więcej niż tylko adres internetowy. To Twoja marka, adres e-mail, pozycja w wynikach wyszukiwania oraz nazwa, którą klienci wpisują, gdy chcą Cię znaleźć. Jeśli domena wygaśnie, Twoja strona internetowa i poczta e-mail mogą przestać działać. Jeśli ktoś inny zarejestruje ją, zanim zdążysz ją odzyskać, odzyskanie jej może być trudne lub niemożliwe. To ogromna strata, a oszuści doskonale o tym wiedzą.

To oszustwo wykorzystuje ten strach, stosując przekonujący, sfałszowany proces przedłużenia umowy.

Adres e-mail i strona internetowa są fałszywe. „Aktualne dane rejestru” są prawdziwe tylko częściowo. Kliknięcie przycisku „Odnów teraz” nie powoduje odnowienia domeny. Zamiast tego użytkownik zostaje przekierowany przez szereg stron internetowych, które najpierw zbierają jego imię i nazwisko, adres, numer telefonu oraz adres e-mail, a następnie proszą o podanie danych dotyczących płatności.

Jeśli usunąłeś tę wiadomość e-mail, nie ma powodu do obaw. Jeśli kliknąłeś w link, po prostu zamknij stronę. Jeśli podałeś dane osobowe lub płatnicze, postępuj zgodnie z powyższymi wskazówkami.

E-mail, od którego wszystko się zaczyna

Oszustwo zaczyna się od wiadomości e-mail, choć jej forma bywa różna. Niektóre wiadomości są dość prymitywne: na przykład zwykłe „Przypomnienie o przedłużeniu domeny” od ogólnej firmy „Domain Services Inc.”, zawierające numer faktury i kwotę do zapłaty.

Fałszywy e-mail dotyczący przedłużenia subskrypcji

Inne są znacznie bardziej dopracowane – zawierają nazwę marki „Renovarix”, numer referencyjny oraz adres siedziby firmy w Londynie, który wygląda na wiarygodny.

Fałszywy e-mail dotyczący przedłużenia subskrypcji

Wszystkie te wiadomości mają jednak jedną wspólną cechę. „Oficjalne” powiadomienie o przedłużeniu subskrypcji serwisu Renovarix zostało wysłane ze zwykłego adresu Gmail. Firma, która twierdzi, że ma siedzibę w Londynie i zapewnia wsparcie techniczne przez całą dobę, raczej nie wysyłałaby powiadomień rozliczeniowych z konta Gmail. Gdy wizerunek marki wygląda profesjonalnie, ale nadawca nie pasuje do tego wizerunku, jest to poważny sygnał ostrzegawczy.

Strona, która wie zbyt wiele

Kliknięcie linku powoduje otwarcie strony, która natychmiast przeprowadza „wyszukiwanie”, informując o postępach za pomocą komunikatów takich jak „nawiązywanie połączenia z rejestrem” i „pobieranie wpisów WHOIS”, a następnie wyświetla nazwę domeny, rejestratora oraz datę wygaśnięcia.

Fałszywe przedłużenie domeny

To sprawia wrażenie, jakby strona wysłała zapytanie do oficjalnego rejestru domen. Niektóre informacje mogą pochodzić z prawdziwych rejestrów publicznych, ale znaczna część elementów nadających stronie pozory wiarygodności jest zmyślona. Na przykład wyświetlany „identyfikator rejestru” nie pochodzi z żadnego rejestru. Jest on generowany lokalnie w przeglądarce na podstawie nazwy domeny i służy wyłącznie temu, by strona wyglądała na oficjalną.

Wszystko ma na celu wywołanie u Ciebie paniki

Gdy ten pulpit nawigacyjny się załaduje, cała strona zamienia się w lejek, który ma na celu przyspieszenie Twoich działań.

Czerwony baner informuje, że Twoja domena wygaśnie za „03 dni”, niezależnie od jej rzeczywistej daty wygaśnięcia. Drugi licznik odliczający wskazuje, że „specjalna cena” w wysokości 2,00 €, obniżona z 9,99 €, wygaśnie za piętnaście minut. Spróbuj zamknąć stronę, a pojawi się okienko z ostrzeżeniem: „Zaczekaj — Twoja domena jest zagrożona!”, z przyciskiem „Nie, dziękuję, zaryzykuję”.

Fałszywa pilność przedłużenia

Rzetelni rejestratorzy nie stosują liczników odliczających ani wyskakujących okienek wywołujących poczucie winy. To właśnie ta presja jest oszustwem.

To „odnowienie” niczego nie odnawia

Oto najwyraźniejszy znak, że coś jest nie tak: kliknięcie przycisku „Odnów teraz” nie powoduje nawiązania kontaktu z rejestratorem ani nie uruchamia procesu odnowienia. Powoduje jedynie przekierowanie przeglądarki na inną stronę internetową.

Niektóre wersje wyświetlają nawet wesoły komunikat potwierdzający „Odnowienie zakończone!”, zawierający nową datę ważności, numer potwierdzenia oraz informację, że potwierdzenie zostało wysłane pocztą elektroniczną. Żadna z tych informacji nie odzwierciedla rzeczywistej transakcji. Wszystko jest generowane w przeglądarce.

Gdzie faktycznie trafiają Twoje dane

Przycisk ten przekierowuje użytkownika – za pośrednictwem marketingowego linku partnerskiego – na stronę o nazwie „Bezpieczna płatność”.

Przejdź do kasy, aby zebrać dane

Na stronie należy podać imię i nazwisko, adres, kod pocztowy, miasto, numer telefonu oraz adres e-mail. Po przesłaniu danych użytkownik zostaje przekierowany na kolejne strony, na których ostatecznie pojawia się prośba o dokonanie płatności.

Przejdź do kasy, aby zebrać dane

Dwa szczegóły wskazują, że mamy tu do czynienia z ponownie wykorzystanym zestawem oszukańczym, a nie z prawdziwą usługą domenową. System potrafi automatycznie wypełnić Twoje dane na podstawie linku, w który kliknąłeś, a fałszywe recenzje z pięcioma gwiazdkami wciąż odnoszą się do serwisu „HappyPrizes” i tego, jak łatwo było „wygrać coś fajnego” — są to fragmenty tekstu pozostałe po wcześniejszym oszustwie związanym z nagrodami, w którym wykorzystano ten sam szablon.

Dlaczego ludzie się na to nabierają

Oszustwo to działa, ponieważ wykorzystuje autentyczne obawy. Zaczyna się od wiarygodnego założenia. Odnowienie domeny to normalny element prowadzenia strony internetowej, więc powiadomienie o wygaśnięciu nie wydaje się niczym niezwykłym. Oszuści wykorzystują to, stosując przekonujące elementy wizerunkowe, informacje z domeny publicznej oraz sztucznie wywołane poczucie pilności.

Wydaje się to również osobiste. Wiele osób zastanawia się, skąd oszuści wiedzieli o ich konkretnej domenie. Odpowiedź jest taka, że nie znają cię osobiście. Każda zarejestrowana domena pojawia się w publicznych rejestrach WHOIS/RDAP, które zawierają nazwę domeny, rejestratora, ważne daty, a czasem adres e-mail do kontaktu. Oszuści zbierają te informacje masowo, a następnie generują linki, które wyświetlają ci dane twojej własnej domeny. Widok znanych informacji sprawia, że strona wydaje się wiarygodna, mimo że pochodzi z rejestrów publicznych.

Wreszcie, oszustwo wywołuje poczucie pilności. Liczniki odliczające czas , ostrzeżenia o zagrożeniu dla Twojej domeny oraz „oferta specjalna” za 2,00 € mają na celu skłonienie Cię do podjęcia działania, zanim zdążysz zweryfikować te informacje. Celem nie jest niska cena, lecz Twoje dane osobowe i płatnicze.

To wszystko nie oznacza, że ofiara była nieostrożna. To po prostu pokazuje, że jest człowiekiem, na którego polują osoby wiedzące, jak zareaguje zaniepokojony właściciel strony.

Co robić

Jeśli otrzymasz taką wiadomość e-mail, po prostu ją usuń. Najbezpieczniejszy sposób postępowania w przypadku przedłużenia rejestracji domeny jest prosty:

  • Nie klikaj w link zawarty w wiadomości e-mail. Wejdź na stronę swojego rejestratora, korzystając z własnej zakładki lub wpisując adres ręcznie, i sprawdź tam rzeczywistą datę wygaśnięcia. Jeśli kliknąłeś w link, zamknij stronę. Samo obejrzenie strony nie stanowi zagrożenia dla Twojej domeny.
  • Dowiedz się, kto jest Twoim rejestratorem. Przedłużenie odbywa się na koncie, które już posiadasz, a nie na stronie internetowej, o której nigdy nie słyszałeś.
  • Traktuj pilność jako sygnał ostrzegawczy, a nie powód do pośpiechu. Prawdziwe odnowienia to nie piętnastominutowe sytuacje kryzysowe.
  • Sprawdź nadawcę. Powiadomienia rozliczeniowe wysyłane z adresu Gmail lub zawierające nazwę marki, która nie zgadza się z nazwą Twojego faktycznego dostawcy, powinny wzbudzić Twoją czujność.
  • Malwarebytes Browser Guard jest bezpłatny i pomaga blokować strony oszukańcze oraz phishingowe podczas przeglądania Internetu.

Jeśli podałeś już dane osobowe (takie jak imię i nazwisko, adres, numer telefonu lub adres e-mail):

  • Należy być przygotowanym na kolejne próby oszustwa. Oszuści mogą skontaktować się z Państwem telefonicznie lub mailowo, podając się za Państwa rejestratora lub odwołując się do Państwa domeny, „zamówienia” lub „przedłużenia”.
  • Nie ufaj niechcianym telefonom ani e-mailom, nawet jeśli wydaje się, że ich autorzy znają szczegóły dotyczące Twojej domeny.
  • Jeśli chcesz skontaktować się z rejestratorem lub bankiem, skorzystaj z danych kontaktowych podanych na ich oficjalnej stronie internetowej, a nie z tych zawartych w wiadomości e-mail lub na fałszywej stronie.

Jeśli podałeś dane karty płatniczej:

Włącz powiadomienia o transakcjach, aby otrzymywać powiadomienia zaraz po użyciu karty.

Natychmiast skontaktuj się ze swoim bankiem lub wystawcą karty. Poinformuj ich, że podałeś dane karty na fałszywej stronie internetowej, i zapytaj, czy zalecają zablokowanie i wymianę karty, nawet jeśli na razie nie zauważyłeś żadnych nieautoryzowanych obciążeń.

Uważnie monitoruj swoje konto. Oszuści czasami dokonują niewielkich „testowych” obciążeń, zanim podejmą próbę przeprowadzenia większych transakcji.

Wskaźniki naruszenia bezpieczeństwa

  • renovarix[.]org — fałszywa strona odnowienia domeny
  • xe54ghj[.]com — przekierowanie
  • paysuccessful[.]site — strona służąca do gromadzenia danych osobowych
  • molipy8trk[.]com — przekierowanie
  • topprogressstores[.]online — strona docelowa z ostateczną ofertą

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

Błędy
PixelSmash

Luka w zabezpieczeniach PixelSmash sprawia, że pliki wideo stają się narzędziami ataku

Czerwiec 24, 2026

Naukowcy odkryli krytyczną lukę w zabezpieczeniach biblioteki FFmpeg, która może umożliwić atakującym wykorzystanie złośliwego pliku wideo do przejęcia kontroli nad podatnymi na atak systemami.

Produkt
Wilk w owczej skórze

Uważaj na oszustwa związane z przedłużeniem subskrypcji, w których sprawcy podszywają się pod firmę Malwarebytes

Czerwiec 24, 2026

Oszuści wysyłają fałszywe powiadomienia o przedłużeniu licencji oprogramowania, w których twierdzą, że naliczono opłatę za subskrypcję. Niektórzy podszywają się nawet pod Malwarebytes.

Oszustwa
Młody mężczyzna siedział z głową w jednej ręce, a w drugiej trzymał telefon.

Total do wszystkich twoich urządzeń”. Oszuści stosujący sekstorsję znów uderzają

Czerwiec 24, 2026

Twierdzą, że mają nagrania, złośliwe oprogramowanie i pełną kontrolę nad twoimi urządzeniami. Oto jak analizować e-mail z groźbą szantażu seksualnego z perspektywy badacza ds. bezpieczeństwa, a nie ofiary.

Dodaj jako preferowane źródło w Google

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa