Забытая буква «L» и троян в подарок. Мошенники используют домен gmai.com для кражи писем

Прямая навигация — когда человек вручную набирает адрес сайта в браузере — стала заметно опаснее: специалисты Infoblox выяснили, что подавляющее большинство «припаркованных» доменов теперь настроены так, чтобы автоматически уводить посетителей на мошеннические страницы и сайты с вредоносным ПО. Речь о доменах, которые истекли или простаивают, а также об опечатках в популярных адресах — тех самых, куда легко попасть по невнимательности.

Обычно пользователь, оказавшийся на таком домене, видит нейтральную «заглушку» от сервиса парковки: набор ссылок, на которых площадка пытается заработать, продавая случайный трафик рекламодателям. Но, как напоминают авторы исследования, десять лет назад риск был сравнительно низким: в 2014 году отдельная работа показывала, что припаркованные домены перенаправляли на вредоносные ресурсы менее чем в 5% случаев — и это происходило даже без кликов по ссылкам на странице.

По данным Infoblox, ситуация за это время перевернулась. В серии экспериментов, проведённых за последние месяцы, исследователи заметили, что более чем в 90% случаев визит на припаркованный домен заканчивается переходом на нелегальный контент, мошеннические схемы, программы-«пугала» (scareware), навязыванием подписок на «антивирус», либо на страницы с раздачей малвари. При этом «клик» как продукт продаётся парковочной компанией рекламодателям, а те нередко перепродают этот трафик дальше — по цепочке, где в конце может оказаться кто угодно.

Любопытная деталь: поведение сильно зависит от того, как именно вы заходите на домен. Infoblox утверждает, что припаркованные сайты могут выглядеть безобидно, если посетитель пришёл через VPN или с не-резидентского IP-адреса. А вот с домашнего, «обычного» подключения — с телефона или компьютера — редирект на подозрительные страницы может сработать мгновенно, просто от факта захода на адрес с опечаткой.

В качестве примера исследователи приводят домен scotaibank[.]com, который легко спутать с сайтом Scotiabank. При входе через VPN пользователь увидит стандартную парковочную страницу, но с резидентского IP его перебросит на контент, пытающийся навязать мошенничество, малварь или другое нежелательное «предложение». По данным Infoblox, владелец этого домена управляет портфелем почти из 3000 похожих адресов. Среди них — gmai[.]com: у него, как отмечается в отчёте, настроен собственный почтовый сервер для приёма входящих писем. Иными словами, если в адресе gmail.com случайно пропустить букву l, письмо не «потеряется» и не вернётся с ошибкой — оно уйдёт прямо к этой стороне. Исследователи также отмечают, что gmai[.]com фигурировал в нескольких недавних кампаниях business email compromise: приманка сообщала о якобы неудавшемся платеже, а во вложении был троян.

Авторы связывают часть этой инфраструктуры по общему DNS-серверу torresdns[.]com и пишут, что подобные домены нацелены на десятки популярных сервисов — от Craigslist и YouTube до Google, Wikipedia, Netflix, TripAdvisor, Yahoo, eBay и Microsoft. По словам исследователя угроз Infoblox Дэвида Брансдона, посетителей ведут через цепочку перенаправлений, одновременно «снимая мерки» с устройства: используют геолокацию по IP, отпечатки браузера и устройства, cookies. Часто редирект идёт через один-два домена за пределами парковочной компании, и на каждом шаге профиль уточняется заново — прежде чем пользователя отправят на вредоносный сайт или, если «атака невыгодна», покажут отвлекающую «приманку» вроде Amazon или Alibaba.

Отдельно в отчёте упоминается другой актор, связанный с доменом domaincntrol[.]com — он отличается от серверов имён GoDaddy всего одним символом и давно использует опечатки в DNS-настройках для перетягивания трафика на вредоносные ресурсы. В последние месяцы, по данным Infoblox, вредоносный редирект срабатывал только если запрос приходил от пользователя, использующего DNS-резолверы Cloudflare (1.1.1.1), тогда как для остальных посетителей страница просто отказывалась загружаться.

Под удар попадают не только бренды, но и «почти государственные» адреса. В отчёте описан случай, когда исследователь пытался сообщить о преступлении в FBI Internet Crime Complaint Center (IC3), но по ошибке открыл ic3[.]org вместо ic3[.]gov — и телефон быстро перебросило на фальшивую страницу с сообщением о «просроченной подписке Drive». Авторы подчёркивают, что человеку повезло отделаться мошеннической страницей: вместо неё легко могла прилететь малварь вроде инфостилера или трояна.

Infoblox отмечает, что зафиксированная ими вредоносная активность не приписана какой-либо известной группе, а сами сервисы парковки и рекламные платформы, упомянутые в исследовании, не обвиняются в организации malvertising, который был задокументирован. При этом вывод отчёта звучит тревожно: хотя парковочные компании заявляют, что работают только с крупными рекламодателями, на практике трафик нередко уходит в партнёрские сети и перепродаётся до такой степени, что конечный «рекламодатель» не имеет прямых отношений с площадкой парковки.

В Infoblox также обращают внимание на недавние изменения политики Google, которые, по мнению авторов, могли непреднамеренно повысить риск для пользователей. Брансдон говорит, что раньше Google AdSense по умолчанию позволял размещать объявления на припаркованных страницах, но в начале 2025 года Google ввёл настройку, при которой показ рекламы на припаркованных доменах отключён по умолчанию — и тем, кто хочет там размещаться, нужно вручную включать парковку как площадку показа.