Мошенничество, угрозы

Поддельные письма о продлении домена заставляют владельцев сайтов перечислять деньги мошенникам

Автор: Стефан Дасич | 25 июня 2026 г.
Социальная инженерия
Добавить в качестве предпочтительного источника в Google

Вы получаете электронное письмо с предупреждением о том, что срок действия доменного имени вашего сайта скоро истекает. В письме говорится: «Продлите домен сейчас, иначе ваш сайт и электронная почта могут перестать работать». По ссылке открывается профессионально оформленная страница, на которой уже указано ваше доменное имя, отображаются данные о регистраторе и дата истечения срока действия, а также запускается таймер обратного отсчета.

Это выглядит срочным и личным, поэтому кажется реальным.

Сайт под брендом Renovarix не занимается продлением доменов. Вместо этого он перенаправляет посетителей по цепочке страниц, на которых собираются личные данные и, в конечном итоге, платежные реквизиты.

Поддельное продление домена

Как работает мошенничество

Срок действия доменных имен действительно истекает, и потеря домена может стать серьёзной проблемой. Для многих людей и компаний домен — это не просто веб-адрес. Это ваш бренд, ваша электронная почта, ваши позиции в поисковой выдаче и имя, которое клиенты вводят, когда хотят вас найти. Если срок его действия истечет, ваш сайт и электронная почта могут перестать работать. Если кто-то другой зарегистрирует его до того, как вы сможете вернуть его себе, восстановление может оказаться сложным или невозможным. Это большая потеря, и мошенники об этом знают.

Эта афера использует этот страх, предлагая убедительную подделку процедуры продления подписки.

Электронная почта и веб-сайт являются поддельными. «Актуальные данные реестра» являются подлинными лишь частично. Нажатие кнопки «Продлить сейчас» не приводит к продлению вашего домена. Вместо этого вы попадаете на цепочку веб-сайтов, которые сначала собирают ваши имя, адрес, номер телефона и адрес электронной почты, а затем в конечном итоге запрашивают платежные реквизиты.

Если вы удалили это письмо, беспокоиться не о чем. Если вы перешли по ссылке, просто закройте страницу. Если вы ввели личные данные или платежную информацию, следуйте инструкциям, приведенным выше.

Письмо, с которого всё началось

Мошенничество начинается с электронного письма, хотя его форма может варьироваться. Некоторые из них выглядят довольно примитивно: например, простое письмо под названием «Напоминание о продлении домена» от компании с общим названием «Domain Services Inc.», содержащее номер счета-фактуры и сумму к оплате.

Поддельное письмо о продлении подписки

Другие же выглядят гораздо более профессионально: в них указан бренд «Renovarix», регистрационный номер и солидно выглядящий лондонский адрес компании.

Поддельное письмо о продлении подписки

Но у них есть одна общая особенность. «Официальное» уведомление о продлении подписки на Renovarix было отправлено с обычного адреса Gmail. Компания, заявляющая о наличии офиса в Лондоне и круглосуточной поддержке, вряд ли будет отправлять уведомления о выставлении счетов через Gmail. Когда брендинг выглядит профессионально, но отправитель не соответствует этому имиджу, это явный сигнал тревоги.

Страница, которая знает слишком много

По этой ссылке открывается страница, которая сразу же выполняет «поиск», отображая ход процесса с помощью таких сообщений, как «подключение к реестру» и «запрос записей WHOIS», а затем выводит ваше доменное имя, регистратора и дату истечения срока действия.

Поддельное продление домена

Это создает впечатление, будто сайт запросил информацию в официальном реестре доменов. Часть информации может быть взята из подлинных открытых источников, но большая часть того, что придает странице вид достоверности, является выдумкой. Например, отображаемый «идентификатор реестра» не получается из какого-либо реестра. Он генерируется локально в вашем браузере на основе вашего доменного имени и существует исключительно для того, чтобы выглядеть официально.

Всё устроено так, чтобы вызвать у вас панику

Как только эта панель инструментов загрузится, вся страница превращается в воронку, призванную подтолкнуть вас к покупке.

На красном баннере указано, что срок действия вашего домена истекает через «03 дня», независимо от его реальной даты истечения. Второй таймер обратного отсчёта сообщает, что «специальная цена» в размере 2,00 евро (вместо 9,99 евро) действует ещё пятнадцать минут. Попробуйте закрыть страницу — появится всплывающее окно с предупреждением: «Подождите — ваш домен под угрозой!», а рядом с ним кнопка «Нет, спасибо, я рискну».

Ложное сообщение о срочности продления

Надежные регистраторы не используют таймеры обратного отсчета или всплывающие окна, вызывающие чувство вины. Само по себе давление — это и есть мошенничество.

«Обновление» ничего не обновляет

Вот самый явный признак того, что что-то не так: при нажатии кнопки «Продлить сейчас» не происходит ни обращение к вашему регистратору, ни обработка запроса на продление. Просто происходит перенаправление вашего браузера на другой веб-сайт.

В некоторых версиях даже отображается весёлое подтверждение «Продление завершено!» с новой датой истечения срока действия, номером подтверждения и сообщением о том, что квитанция отправлена по электронной почте. Ничто из этого не отражает реальную транзакцию. Всё генерируется в вашем браузере.

Куда на самом деле попадают ваши данные

Эта кнопка перенаправляет вас по партнерской маркетинговой ссылке на страницу под названием «Безопасная оплата».

Оформление заказа для сбора данных

На этой странице необходимо указать ваше имя, адрес, почтовый индекс, город, номер телефона и адрес электронной почты. После отправки данных вы попадаете на дополнительные страницы, где в конечном итоге вам будет предложено произвести оплату.

Оформление заказа для сбора данных

Две детали указывают на то, что это переработанный мошеннический набор, а не настоящий сервис по регистрации доменов. Он может автоматически заполнять ваши данные на основе ссылки, по которой вы перешли, а в его поддельных пятизвездочных отзывах по-прежнему упоминается «HappyPrizes» и то, как легко было «выиграть что-нибудь приятное» — это остатки текста из более ранней мошеннической акции с призами, в которой использовался тот же шаблон.

Почему люди на это ведутся

Эта афера работает, потому что использует в своих целях реальную озабоченность. Она начинается с правдоподобной предпосылки. Продление домена — это обычная часть работы с веб-сайтом, поэтому уведомление об истечении срока действия не выглядит подозрительным. Мошенники развивают эту тему, используя убедительный брендинг, общедоступную информацию о домене и искусственно созданное ощущение срочности.

Кроме того , это выглядит как личное обращение. Многие люди задаются вопросом, откуда мошенники узнали именно об их домене. Ответ заключается в том, что они не знают вас лично . Каждый зарегистрированный домен фигурирует в общедоступных записях WHOIS/RDAP, которые содержат доменное имя, регистратора, важные даты, а иногда и контактный адрес электронной почты. Мошенники собирают эту информацию массово, а затем генерируют ссылки, в которых вам показывают данные вашего собственного домена. Увидев знакомую информацию, вы начинаете воспринимать страницу как достоверную, хотя она и была создана на основе общедоступных данных.

Наконец, мошенники создают ощущение срочности. Таймеры обратного отсчёта , предупреждения о том, что ваш домен находится под угрозой, и «специальное предложение» за 2,00 евро — всё это призвано заставить вас действовать, не успев тщательно проверить достоверность информации. Цель здесь не в низкой цене, а в получении ваших личных данных и платежных реквизитов.

Ничто из этого не делает жертву неосторожной. Это делает её человеком, на которого нацелились люди, знающие, как реагирует обеспокоенный владелец сайта.

Что делать

Если вы получили подобное письмо, просто удалите его. Самый безопасный способ продлить домен очень прост:

  • Не переходите по ссылке в письме. Зайдите на сайт своего регистратора через закладку или введя адрес самостоятельно и проверьте там действительную дату истечения срока действия. Если вы перешли по ссылке, закройте страницу. Простое просмотр страницы не представляет угрозы для вашего домена.
  • Узнайте, кто является вашим регистратором. Продление происходит в той учетной записи, которая у вас уже есть, а не на каком-то сайте, о котором вы никогда не слышали.
  • Рассматривайте срочность как предупреждающий сигнал, а не как повод торопиться. Настоящие обновления — это не пятнадцатиминутные экстренные ситуации.
  • Проверьте отправителя. Уведомления о выставлении счетов, присланные с адреса Gmail или от имени компании, не совпадающей с названием вашего фактического провайдера, являются тревожными признаками.
  • Malwarebytes Browser Guard — это бесплатная программа, которая помогает блокировать мошеннические и фишинговые страницы во время просмотра веб-страниц.

Если вы уже ввели личные данные (такие как имя, адрес, номер телефона или адрес электронной почты):

  • Будьте готовы к последующим попыткам мошенничества. Злоумышленники могут связаться с вами по телефону или электронной почте, представляясь вашим регистратором или упоминая ваш домен, «заказ» или «продление».
  • Не доверяйте звонкам или электронным письмам, полученным без вашей просьбы, даже если их авторы, судя по всему, знают подробности о вашем домене.
  • Если вам нужно связаться с регистратором или банком, используйте контактные данные с их официального сайта, а не те, которые указаны в электронном письме или на мошеннической странице.

Если вы ввели данные платежной карты:

Включите уведомления о транзакциях, чтобы получать оповещения сразу же после использования вашей карты.

Немедленно свяжитесь со своим банком или эмитентом карты. Сообщите им, что вы ввели данные своей карты на мошенническом сайте, и спросите, рекомендуют ли они заблокировать и заменить карту, даже если вы пока не заметили никаких несанкционированных списаний.

Внимательно следите за состоянием своего счета. Мошенники иногда проводят небольшие «пробные» списания, прежде чем пытаться осуществить более крупные транзакции.

Индикаторы компрометации

  • renovarix[.]org — поддельная страница продления домена
  • xe54ghj[.]com — редиректор
  • paysuccessful[.]site — страница сбора персональных данных
  • molipy8trk[.]com — редиректор
  • topprogressstores[.]online — целевая страница с окончательным предложением

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Стефан Дашич

Стефан Дашич

Увлеченный антивирусными решениями, Стефан с раннего возраста участвовал в тестировании вредоносных программ и контроле качества AV-продуктов. Став частью команды Malwarebytes , Стефан посвящает себя защите клиентов и обеспечению их безопасности.

ПОСЛЕДНИЕ СТАТЬИ

Жучки
PixelSmash

Уязвимость PixelSmash превращает видеофайлы в инструменты для атак

Июнь 24, 2026

Исследователи обнаружили критическую уязвимость в FFmpeg, которая может позволить злоумышленникам с помощью вредоносного видеофайла получить доступ к уязвимым системам.

Продукт
Волк в овечьей шкуре

Остерегайтесь мошенников, предлагающих продлить подписку и выдающих себя за Malwarebytes

Июнь 24, 2026

Мошенники рассылают поддельные уведомления о продлении лицензии на программное обеспечение, в которых утверждается, что с вас списали плату за подписку. Некоторые из них даже выдают себя за Malwarebytes.

Аферы
Молодой человек сидел, положив голову на одну руку и держа в другой телефон.

Total ко всем вашим устройствам». Мошенники, занимающиеся сексторцией, снова наносят удар

Июнь 24, 2026

Они утверждают, что у них есть видеозаписи, вредоносное ПО и полный контроль над вашими устройствами. Вот как прочитать письмо с угрозой сексуального шантажа глазами специалиста по кибербезопасности, а не жертвы.

Добавить в качестве предпочтительного источника в Google

Сопутствующие статьи

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы