Во второй половине 2021 года активно проявилась тенденция, связанная с миграцией российских кибермошенников на Запад.
Эта тенденция отлично прослеживается согласно нашим данным мониторинга, а в недавнем интервью её подтвердил и один из организаторов преступного бизнеса. Не читали интервью?
Обязательно ознакомьтесь.
Но несмотря на ориентированность на Западную аудиторию злоумышленники продолжают использовать услуги российских регистраторов доменных имен и не брезгуют зоной .RU для размещения сайтов, нацеленных на зарубежных пользователей.
Особенно наглядно это проявляется на примере последней атаки на клиентов испанских банков. С начала года мы фиксируем появление десятков фишинговых сайтов, имитирующих страницы входа в личный кабинет расположенных на Иберийском полуострове банков, многие из которых хоть и открываются исключительно с испанских IP-адресов, но расположены в российской национальной доменной зоне.
В качестве примера можно привести сайт
https://div-seguridad-bancaria.ru/login, как две капли воды похожий на страницу сайта банка BBVA и доступный с территории РФ. При более пристальном изучении были обнаружены еще 4 домена, связанных с банком
Домен
div-seguridad-bancaria.ru, зарегистрирован 7 февраля 2022 года через регистратора
R01, сам ресурс привычно скрывается за CloudFlare.
Наша аналитическая система проанализировала домены, задействованные в «испанской схеме», в результате чего мы обнаружили, что их владелец отнюдь не ограничивается Испанией. За последние месяцы только
им было зарегистрировано более полутора тысяч доменных имен, тематика которых не имеет ничего общего с легальным бизнесом, зато напрямую затрагивает банковский фишинг (30+ доменов, в том числе:
https://customer-security-team.ru/login/, ), мошенничества на торговых площадках (170+ доменов), фейковые сайты государственных органов, включая Минфин (9+ доменов) и множество других интересных ресурсов, включая зеркала магазина по продаже скомпрометированных банковских карт (
https://bvcc.ru/) и прочих даркнет-ресурсов (
https://darknetweb.ru/,
https://loxcc.ru/), фейковые магазины по продаже швейцарских часов (
https://tagheuerreplica.ru/,
https://omegareplica.ru/) и модных аксессуаров (
https://www.philipppleinreplica.ru/,
https://www.rimowareplica.ru/,
https://www.pradareplica.ru/,
https://www.alexandermcqueenreplica.ru/,
https://www.valentinoreplica.ru/). Многие сайты уже внесены в черный список Google Safe Browsing или заблокированы, другие же напротив – живее всех живых. При средней стоимости домена в 590 рублей,
количество потраченных на регистрацию доменов денег может вплотную приближаться к 1 миллиону рублей.
Но самое интересное то, что все эти домены имеют статус:
REGISTERED, DELEGATED, VERIFIED, а это означает, что их владелец предоставил регистратору
R01 некие удостоверяющие документы и несмотря на откровенно противоправный контент продолжает спокойно пачками регистрировать новые доменные имена, поддерживая, так сказать, отечественного производителя.
@In4security 
