Мошенничество с китайскими доменами: как распознать и защититься

Иллюстрация: предупреждение о мошенничестве с доменами

Введение

Если бы вам предложили способ навсегда защитить автомобиль от угона или дом от взлома — многие заплатили бы. Для компаний бренд часто ценится не меньше, чем имущество. Именно этим пользуются мошенники, предлагая «защиту бренда» в виде регистрации доменов в азиатских зонах (.CN, .HK, .TW и т. п.).

Эта схема получила широкое распространение после ослабления ограничений на регистрацию .CN-доменов: хотя ранее (с 3 сентября 2012 года) требовалась подача идентификационных документов, с 9 июля 2013 года регистрация .CN стала такой же доступной, как и другие домены. Это породило своего рода «золотую лихорадку» по регистрациям и рычаги социальной инженерии, направленные на западные компании.

Что происходит на практике: мошеннические организации присылают коммерчески оформленные письма, где заявляют, будто третья сторона пытается зарегистрировать ваш бренд в Азии. Затем предлагают «помочь» — либо зарегистрировать домены за вас, либо продать вам «первое право» по сильно завышенной цене.

История случая и схема мошенничества

Автор исходной истории получил письмо от «Nicholas Lee» с домена naasreg.com, в котором содержалось заявление, будто фирма RANTRANCE LTD пытается зарегистрировать бренд TopSecretWriters в нескольких азиатских доменных зонах. Письмо выглядело полуформально и содержало требования ответить в течение нескольких рабочих дней, иначе «регистрация будет завершена» в пользу третьей стороны.

Скриншот письма от предполагаемого регистратора naasreg.com

Ключевые элементы мошеннической тактики (часто встречаются вместе):

Уведомление, что третья сторона якобы пытается зарегистрировать ваш бренд в азиатских доменах.
Предложение «как любезность» спросить ваше разрешение на регистрацию третьей стороной.
Вариант «первой опции» зарегистрировать эти азиатские домены у отправителя.
Ролевые игры типа «хороший коп/плохой коп» между регистратором и «третьей стороной».
Регистрация может быть произведена на сторонний email (мошенники контролируют почту владельца записи WHOIS/registrant), что лишает вас прямого доступа.
Цены ненормально высоки, часто требуют минимальную предоплату на 5–10 лет.

Такая практика называется «slamming» в маркетинге — навязывание услуг с вводящими в заблуждение приёмами. С ослаблением правил для .CN и ростом числа контактирующих организаций эта практика активизировалась.

Пример переписки и признаки лжи

В приведённой переписке «Nicholas Lee» убеждал автора в существовании «RANTRANCE LTD» и просил заполнить «Dispute Application Form», одновременно предлагая пакет «защиты бренда» на 5 лет с дополнительной платой «Network Brand». В ответ автор начал проверять подлинность, связываться с независимыми экспертами и сопоставлять цены.

IP геолокация отправителя письма рядом с Наньчанем, Китай

Признаки мошенничества, замеченные в переписке:

Отсутствие достоверных регистрационных данных третьей стороны (компания RANTRANCE LTD не находилась в поиске).
Давление сроков и угрозы «последней возможности».
Запрос личных данных (мобильный, домашний телефоны, почтовый адрес) в форме «для спора». Это повышает риск утечки персональных данных.
Завышенные тарифы, дополнительные необоснованные сборы.
Требование регистрации только на длительный срок (например, минимум 5 лет).

Цена вопроса и ветвление мошенничества

В примере «защита» предлагалась по $700 в год за домен при минимуме в 5 лет ($3,500), плюс некая плата $220 в год за «сетевой бренд» на 5 лет ($1,100). Такой прайс в 2–3 раза выше рыночного и сопровождается риском отсутствия контроля над доменом — регистрантский email был почтовым ящиком мошенников.

Вместо того чтобы покупать «спокойствие», куда разумнее действовать через признанного регистратора и иметь полный контроль: доступ к панели управления, возможность назначить свои DNS и продлевать домен по желанию.

Доказательство и контршаг

Автор не поддался давлению и проверил цены у легального регистратора (NiceNic.net), где год .cn стоил около $7.50 — в разы дешевле, чем предлагали мошенники.

Сравнение цен легального регистратора NiceNic и предложений мошенников

Через пару дней автор зарегистрировал нужные домены самостоятельно и получил подтверждение.

Подтверждение регистрации .cn домена через легального регистратора

После смены NS и переадресации домена угроза «чужого» сайта была снята.

Настройка серверов имён и перенаправление .cn на основной сайт

Через неделю сайт мошенников исчез или превратился в простую посадочную страницу, что подтверждает наличие временных доменов и ненадёжных компаний за этой схемой.

Лендинг мошеннического сайта после удаления прежнего контента

Что делать, если пришло похожее письмо

Ниже — практическая методика и чек-листы, которые помогут оценить реальность угрозы и принять правильное решение.

Методология проверки и последовательные шаги

Не спешите отвечать и не переводите деньги в первые 48–72 часа.
Сохраните оригинал письма, заголовки (email headers) и вложения.
Посмотрите доменное имя отправителя и сайт отправителя через WHOIS и общедоступные реестры.
Проверяйте IP отправителя — геолокация может быть обманчивой, но поможет в анализе.
Сравните цены с аккредитованными регистраторами (.CN под рукой у CNNIC-аккредитованных партнёров).
Попробуйте напрямую зарегистрировать ключевые домены через известного регистратора.
Если домен уже зарегистрирован кем-то ещё — запросите у регистратора WHOIS и проверьте email регистранта. Если адрес принадлежит Gmail, Hotmail или иным массовым почтовым сервисам, это тревожный знак.
Не отправляйте персональные данные (паспортные номера, персональные телефоны) по незнакомым формам.
При сомнении обратитесь к знакомому регистратору или консультанту по защите бренда.

Чек-листы по ролям

Чек-лист для CEO / владелца бренда:

Оцените, действительно ли для вашего бизнеса важна локальная регистрация в конкретной стране.
Проверьте письмо на признаки давления и угроз.
Поручите IT/юридическому отделу проверить легитимность компании, отправившей письмо.
Не подписывайте документы о «предварительной регистрации» без юрпроверки.

Чек-лист для IT-администратора / CTO:

Сохраните заголовки письма и IP отправителя.
Выполните WHOIS-запрос по спорному домену и по домену отправителя.
Попробуйте зарегистрировать домен через аккредитованного регистратора.
Если домен уже зарегистрирован, проверьте права доступа к панели управления регистранта.

Чек-лист для маркетинга / брендинга:

Оцените назначение локальной зоны (локальные рынки, SEO, юридические требования).
Согласуйте с юридическим отделом необходимость владения доменом в стране.
Если регистрация важна, поручите покупку через проверенного партнёра.

Стандартная процедура (SOP) для обработки подобного письма

Получил письмо — уведомил CISO/CTO и владельца бренда.
Зафиксировал сообщение и технические метаданные (заголовки).
Выполнил WHOIS и проверил наличие домена.
Если домен свободен — предложил покупку через утверждённый список регистраторов.
Если домен занят — проверил, зарегистрирован ли он на сторонний почтовый адрес. Если да — инициировал юридическую проверку. Если нет, запросил у регистратора право передачи/унификации контакта.
Вёл коммуникацию с отправителем только через официальные каналы и по шаблонам (см. раздел «Шаблоны»).

Шаблоны писем

Шаблон вежливого запроса от маркетинга, если хотите удержать переписку и получить доказательства:

Subject: Запрос подтверждающих данных по регистрации доменов

Здравствуйте,

Мы получили ваше сообщение о регистрации доменов, связанных с нашим брендом. Просим предоставить официальную информацию:

Полное юридическое название вашей компании и уставные документы.
WHOIS-данные регистратора и копию заявки о регистрации.
Контактное лицо с корпоративной электронной почтой.

Мы рассмотрим предоставленные документы и вернёмся с ответом в течение 5 рабочих дней.

С уважением, [Имя] [Должность] [Компания]

Шаблон отказа (если вы не планируете регистрировать через отправителя):

Subject: Отказ от ваших услуг по регистрации доменов

Здравствуйте,

Благодарим за уведомление. Наша компания не заинтересована в предоставляемых услугах и не будет передавать прав на регистрацию третьим лицам. Мы сами контролируем регистрацию наших доменных имён.

С уважением, [Имя] [Должность] [Компания]

Образец внутренней записи о риске (короткая форма)

Дата получения: [дата]
Отправитель: [email]
Требование: [описание]
Статус: подлежит проверке / подтвержден как мошенничество / выполнено вручную
Действие: [купили домен / отказались / направили юристам]

Решение: если домен важен — купить через доверенного регистратора; если нет — мониторить упоминания.

Критерии приёмки

Успешная проверка и нейтрализация угрозы считается выполненной, если:

Действия по владению доменом выполнены (регистрация прошла и доступ передан IT);
Личные данные сотрудников не были переданы в форме отправителя;
Если домен зарегистрирован у третьей стороны — установлено, кто владелец и есть план по передаче/блокировке;
Коммуникация с отправителем завершена официальным отказом, при необходимости задействован юридический отдел.

Сравнение: самостоятельная регистрация против услуг неизвестных реселлеров

Критерий	Самостоятельная регистрация через проверенного регистратора	Оплата услуг малоизвестного посредника
Стоимость	Рынок. Обычно низкая годовая цена	Часто 2–3 раза дороже
Контроль	Полный доступ к WHOIS, DNS и панели управления	Частичный или отсутствует
Риск утраты контроля	Низкий при правильной настройке	Высокий, если регистрант — злоумышленник
Юридическая чистота	Регистрация на вашу организацию или сервис-провайдера	Регистрация на третье лицо или почтовый ящик

Когда схема может сработать против вас

Если вы безоговорочно платите и не контролируете аккаунт регистратора.
Если конфиденциальные данные сотрудников переданы мошенникам.
Если компания регистрируется на «прокси»-адрес, и вы не можете быстро восстановить контроль.

Альтернативные подходы

Регистрация через международно признанных регистраторов (список у ICANN и CNNIC).
Доверенные реселлеры с локальными офисами и договорами обслуживания.
Использование сервисов мониторинга бренда для раннего оповещения о регистрациях.

Факт-бокс

Важные даты: с 3 сентября 2012 года действовали более строгие правила для .CN; с 9 июля 2013 года регистрация .CN стала проще для международных заявителей.
Типичные требования мошенников: срочность, минимальный срок 5 лет, дополнительные ежегодные сборы за «бренд».
Рыночная цена: стоимость годовой регистрации .CN у легального регистратора может начинаться от нескольких долларов/евро; у мошенников — десятки или сотни долларов в год.

Матрица рисков и меры по смягчению

Риск	Вероятность	Последствия	Меры по снижению
Потеря домена	Средняя	Высокие — потеря трафика, репутации	Регистрировать у аккредитованных провайдеров, использовать 2FA
Утечка персональных данных	Средняя	Средние — мошенничество с персоналом	Не отправлять ПДн по незнакомым формам, использовать корпоративную почту
Финансовая потеря	Высокая при оплате	Средняя/Высокая	Верифицировать счета, требовать контрактов
Юридические проблемы	Низкая/Средняя	Средняя	Консультация юриста по интеллектуальной собственности

Юридические и вопросы конфиденциальности

Не отправляйте паспортные данные, номера телефонов или банковские реквизиты дополнительно, если вы не проверили компанию.
В некоторых юрисдикциях передача персональных данных третьим лицам регулируется законом о защите данных (в ЕС — GDPR). Если вы работаете с персональными данными резидентов ЕС, убедитесь, что передача данных соответствует требованиям.
Запрашивайте договор и счёт-фактуру — мошенник часто ограничивается только коммерческим письмом.

Локальные нюансы для России и стран СНГ

Для компаний, работающих в России, важно понимать, что регистрация домена .RU и .РФ имеет свои правила и локальные регистраторы. Если ваша деятельность ориентирована на китайский рынок, разумно обсуждать регистрацию с партнёром, знакомым с китайскими требованиями.
Русскоязычные письма и локальные номера в тексте могут быть признаком попытки адаптировать мошенничество под рынок, но это не гарантирует легитимности.

Тест-кейсы и критерии приёмки

Тест: Письмо от неизвестного регистратора с угрозой. Критерий приёмки: отправитель не получает денег, IT проверяет WHOIS, результат документирован.
Тест: Попытка регистрации через посредника. Критерий приёмки: подтверждение регистрации приходит на корпоративный адрес, доступ к панели есть.
Тест: Третий лиц зарегистрировал домен. Критерий приёмки: установлена личность владельца, начато юридическое разбирательство или куплен альтернативный домен.

Инструменты и ресурсы

WHOIS-lookup сервисы (ICANN WHOIS, региональные реестры).
Сервисы проверки IP-геолокации.
Список аккредитованных регистраторов у ICANN и CNNIC.
Мониторинг упоминаний бренда (Google Alerts, специализированные сервисы).

Рекомендации по безопасности доменов

Всегда регистрируйте домен на юридическое лицо или на доверенного провайдера, где вы контролируете профиль.
Включите двухфакторную аутентификацию (2FA) в панели регистратора.
Используйте корпоративную почту для регистрационных записей, не общие Gmail/Hotmail.
Устанавливайте авто-продление и мониторьте дату истечения сроков.

Решение и итоговые рекомендации

Не поддавайтесь давлению в письмах, требующих срочной оплаты.
Всегда проверяйте легитимность отправителя и стоимость услуги у официальных регистраторов.
Если домен важен для бизнеса — регистрируйте сами или поручайте доверенному партнеру, контролируя доступ.
Если регистрируете через третье лицо — требуйте контракт и передачу полного контроля над записью!

Краткая инструкция по безопасной регистрации в Азии

Определите зоны, которые вам действительно нужны (.cn, .hk, .tw и т. д.).
Найдите аккредитованного регистратора (через ICANN/CNNIC).
Сравните цены и условия: обязательно проверьте, принадлежит ли домен вам в WHOIS.
Включите 2FA в учётной записи регистратора и сохраните копии договоров.

Дерево решений

flowchart TD
  A[Получено письмо о регистрации доменов] --> B{Письмо вызывает подозрение?}
  B -- Да --> C[Сохранить письмо и заголовки]
  C --> D[Сделать WHOIS и проверить цену у аккредитованного регистратора]
  D --> E{Домен свободен?}
  E -- Да --> F[Регистрировать через проверенного провайдера]
  E -- Нет --> G[Проверить, на кого зарегистрирован домен]
  G --> H{Зарегистрирован на масовую почту?}
  H -- Да --> I[Юридическая проверка и запрос на передачу]
  H -- Нет --> J[Оценить необходимость обращения к регистратору или арбитражу]
  B -- Нет --> K[Архивировать и мониторить]

Глоссарий (одна строка каждый термин)

WHOIS: публичная запись с данными о владельце домена и дате регистрации.
Регистратор: компания, которая выполняет техническую регистрацию домена в реестре.
Реселлер: посредник, который может продавать регистрацию от имени регистратора.
DNS: система имен доменов, указывающая, куда направлять трафик.

Короткий текст для соцсетей (под подачу или анонс)

Мошенники предлагают «защитить» бренд в .CN/.HK за завышенную цену. Не платите первым попавшимся — проверьте WHOIS и регистраторов, и регистрируйте домены через проверенные сервисы.

Заключение

Мошенничество с регистрацией китайских доменов — пример социальной инженерии, ориентированной на страх потерять бренд. Лучший ответ — информационная подготовленность и технический контроль: проверяйте письма, консультируйтесь с IT и юристами, и при необходимости регистрируйте домены через аккредитованных провайдеров. Это дешевле и безопаснее, чем платить посредникам, которые обещают «защитить» вас за непрозрачную плату.

Вопрос читателям

Приходилось ли вам сталкиваться с подобными письмами? Регистрируете ли вы локальные домены для защиты бренда? Поделитесь опытом в комментариях.

Important: эта статья переведена и адаптирована для русскоязычной аудитории. Она содержит практические шаги и шаблоны для оперативной проверки подозрительных писем, но не заменяет юридическую консультацию при спорных регистрациях.