Мошенники массово перехватывают истекшие домены .рф для размещения запрещённого контента
Эксперты Bi.Zone выявили более 370 доменов .рф, ранее принадлежавших легальным компаниям, но теперь используемых для рекламы казино и фишинга — злоумышленники эксплуатируют просроченные регистрации, унаследовав доверие аудитории и SEO-позиции жертв.
Эксперты компании Bi.Zone зафиксировали более 370 потенциально мошеннических доменных имён в зоне .рф, которые ранее принадлежали официальным организациям — от строительных компаний и медицинских кабинетов до интернет-магазинов и офисов услуг. После истечения срока регистрации эти адреса были приобретены третьими лицами и переориентированы на размещение запрещённого контента: онлайн-казино, азартные игры, фишинговые формы и поддельные сервисы финансовых организаций.
Схема действия преступников основана на системном отслеживании доменов, срок действия которых истекает в ближайшие дни. Используя автоматизированные инструменты, злоумышленники выкупают такие адреса на специализированных аукционах регистраторов или через посредников, не нарушая закон на этапе приобретения.
Проблема в том, что домен, даже если он не использовался годами, сохраняет историю индексации в поисковых системах, обратные ссылки, репутацию и потенциальную аудиторию. Мошенникам это позволяет быстро «выйти в трафик» без необходимости строить доверие с нуля.
В некоторых случаях угон происходит не из-за намеренного отказа от продления, а вследствие технической ошибки: неверная настройка DNS-записей, отсутствие автоматического продления, недоступность учётной записи регистратора или утрата доступа после смены сотрудника. В таких ситуациях домен становится «невидимым активом» — его владелец не осознаёт, что потерял контроль, пока не начинает получать жалобы от клиентов о переходе на фишинговый сайт.
Дополнительный вектор атак — компрометация учётных записей владельцев доменов. Злоумышленники используют стилеры — вредоносное ПО, предназначенное для кражи учётных данных. По данным исследования «Threat Zone 2025: обратная сторона», стилеры составляют 33% всех объявлений о продаже вредоносных программ на теневых рынках. Получив доступ к панели управления регистратором, преступники могут не только изменить DNS, но и полностью сменить контактные данные, заблокировав легального владельца.
В редких случаях применяется метод фишинговых доменов-дубликатов: создаются домены с опечатками в имени (например, bank-rf.ru вместо bank.rf) или маскируются под интерфейсы регистраторов и хостинг-провайдеров, чтобы обманом получить логины и пароли от реальных аккаунтов.
Координационный центр доменов .RU/.РФ подтверждает: обращения от пострадавших компаний регулярны. Причины освобождения доменов разнообразны — от ликвидации юридического лица до простой забывчивости при продлении. Последствия выходят за рамки утраты сайта: мошенники используют старые email-адреса для рассылки вредоносных вложений, размещают поддельные отзывы, проводят социальную инженерию против клиентов, и даже формируют фальшивые страницы в поисковиках, имитирующие легальный бизнес.
Доменное имя — это не технический параметр, а цифровой актив с рыночной стоимостью и репутационным риском. Для защиты необходимо соблюдать три ключевых практики:
Проблема в том, что домен, даже если он не использовался годами, сохраняет историю индексации в поисковых системах, обратные ссылки, репутацию и потенциальную аудиторию. Мошенникам это позволяет быстро «выйти в трафик» без необходимости строить доверие с нуля.
В некоторых случаях угон происходит не из-за намеренного отказа от продления, а вследствие технической ошибки: неверная настройка DNS-записей, отсутствие автоматического продления, недоступность учётной записи регистратора или утрата доступа после смены сотрудника. В таких ситуациях домен становится «невидимым активом» — его владелец не осознаёт, что потерял контроль, пока не начинает получать жалобы от клиентов о переходе на фишинговый сайт.
Дополнительный вектор атак — компрометация учётных записей владельцев доменов. Злоумышленники используют стилеры — вредоносное ПО, предназначенное для кражи учётных данных. По данным исследования «Threat Zone 2025: обратная сторона», стилеры составляют 33% всех объявлений о продаже вредоносных программ на теневых рынках. Получив доступ к панели управления регистратором, преступники могут не только изменить DNS, но и полностью сменить контактные данные, заблокировав легального владельца.
В редких случаях применяется метод фишинговых доменов-дубликатов: создаются домены с опечатками в имени (например, bank-rf.ru вместо bank.rf) или маскируются под интерфейсы регистраторов и хостинг-провайдеров, чтобы обманом получить логины и пароли от реальных аккаунтов.
Координационный центр доменов .RU/.РФ подтверждает: обращения от пострадавших компаний регулярны. Причины освобождения доменов разнообразны — от ликвидации юридического лица до простой забывчивости при продлении. Последствия выходят за рамки утраты сайта: мошенники используют старые email-адреса для рассылки вредоносных вложений, размещают поддельные отзывы, проводят социальную инженерию против клиентов, и даже формируют фальшивые страницы в поисковиках, имитирующие легальный бизнес.
Доменное имя — это не технический параметр, а цифровой актив с рыночной стоимостью и репутационным риском. Для защиты необходимо соблюдать три ключевых практики:
- Автоматическое продление домена через надёжного регистратора с двусторонним подтверждением;
- Регулярный мониторинг сроков действия через бесплатный WHOIS-сервис Координационного центра;
- Обновление контактных данных в реестре при смене руководства, юридического адреса или прекращении деятельности компании — включая перевод прав администратора на нового ответственного.
© 15.09.2025
Закажите обратный звонок
Оставьте свой телефон, мы свяжемся с вами в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Контакты:
info@smartinfra.ru
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
105118, г. Москва,
ул. Буракова, 27 к3,
3 этаж, офис 322
© 2025