Jak wyglądają adresy takich stron i czym się charakteryzują? Najczęściej przypominają adresy znanych i istniejących serwisów, czym wzbudzają zaufanie ofiar. Specjaliści z CERT Orange wymieniają spośród przeanalizowanych 253 domen takie adresy jak: wiadomoscilokalne.eu, newsweek-polska-pl.eu, www.glospolski24.pl, warszawafakty.eu, polskieinformacje24.eu czy onet24-polska.space.

To same nazwy, ale przeanalizowano też wpisy Whois tych witryn i okazało się, że zakładane są one na prawdziwe, istniejące małe i średnie polskie firmy, nieświadome tego procederu, a w polu adresu email podawane są losowe i bezsensowne zbitki znaków przed @, dane osobowe różniące się od tych z nazwy firm, pod którą się przestępcy podszywają oraz pochodzą od darmowych dostawców poczty e-mail, choć firmy te mają własną domenę.

Co ciekawe „lwia część” tych podejrzanych domen zarejestrowana jest w Nazwa.pl przez spółkę NetArt Registrar Sp. z o.o. Orange (który to dzięki swojej Cyber Tarczy sam blokuje po kilkadziesiąt takich domen dziennie) zwrócił się do Nazwa.pl z kilkoma pytaniami związanymi z tym faktem, pytali między innymi o to, czy Nazwa.pl posiada wypracowane procedury blokowania rejestracji witryn, mogących służyć do przestępstwa czy aktywności phishingowej. Artykuł na CERT Orange Polska ukazał się dokładnie 7 dni temu, do dzisiaj Nazwa.pl nie ustosunkowała się do tego odkrycia.

Z kolei jako pozytywny przykład działań w tym zakresie przez rejestratora domen, wymieniona w artykule jest firma Hekko, która wprawdzie zarejestrowała jedną z domen pod serwis phishingowy, ale tylko na jeden dzień po czym ją zablokowali, bo wychwycili rejestrację domeny z adresu IP z sieci TOR, przy użyciu danych osobowych, wskazujących na scam. Tak więc – da się.

Źródło: CERT Orange Polska.