Фишинг остается одной из самых распространенных и эффективных схем киберпреступников во всем мире. С каждым годом методы злоумышленников усложняются, и они стараются использовать самые неожиданные инструменты для обмана пользователей и кражи их конфиденциальных данных. Особое внимание специалистов по кибербезопасности в последнее время привлекает резкий рост использования доменных имен с расширением .es, которые традиционно связаны с Испанией и испаноязычной аудиторией. Этот тренд становится одним из самых заметных в мировом пространстве интернет-угроз, и понимание его масштабов и особенностей крайне важно для всех пользователей и организаций, особенно тех, кто взаимодействует с испаноязычным сегментом сети.
По данным ведущих исследовательских компаний по информационной безопасности, рост количества фишинговых кампаний с .es доменами за первые пять месяцев 2025 года превысил впечатляющий показатель в 19 раз по сравнению с предыдущими периодами. На фоне общего потока мошеннических активностей .es домены вышли на третье место по популярности у злоумышленников, уступая лишь широко известным .com и .
ru. В числе ключевых центров мошеннической активности – страны, где высокий уровень интернета сочетается с большой базой испаноговорящих пользователей, что создает широкую и уязвимую аудиторию.Основное направление злоупотребления – это фишинг, направленный на кражу учетных данных пользователей. Более 99% выявленных случаев связанных с .es доменами именно нацелены именно на получение логинов, паролей и прочей важной внутренней информации.
В оставшихся случаях речь идет о распространении вредоносных программ, таких как удаленные трояны (Remote Access Trojans) с названиями ConnectWise RAT, Dark Crystal и XWorm, которые позволяют злоумышленникам получить полный контроль над зараженными устройствами.Интересно, что в большинстве случаев методы доставки вредоносного контента при помощи .es доменов не отличаются оригинальностью. Злоумышленники маскируют фальшивые сайты под известные бренды, особенно Microsoft, который фигурирует в 95% случаев фишинговых рассылок. Тематика сообщений достаточно типична: запросы, связанные с офисной деятельностью, например, просьбы подтвердить данные в рамках кадровых операций (HR), получить документы или решить срочные рабочие вопросы.
При этом качество подготовки писем зачастую высокое, что затрудняет их выявление и увеличивает шансы успешной атаки.Уникальная особенность этих доменов в том, что большинство поддоменов под .es создаются автоматически, с рандомными символами, без смысловых нагрузок. Примеры поддоменов, таких как ag7sr.fjlabpkgcuo.
es или gymi8.fwpzza.es свидетельствуют, что киберпреступники массово регистрируют случайные сочетания букв и цифр, чтобы усложнить детектирование, но одновременно это дает возможность потенциальным жертвам с большей вероятностью заметить подозрительность URL за счет несоответствия логике привычных адресов.Почему домен .es стал столь популярным среди фишеров? Точного ответа нет, однако эксперты предполагают, что причины могут заключаться в усилении доступности и удобства регистрации доменных имен на этой территории, а также в особенностях работы с хостинг-провайдерами.
В частности, почти все такие злоумышленные сайты располагаются на инфраструктуре Cloudflare, которая предоставляет быструю и простую развертку веб-страниц, а также используется функция Turnstile CAPTCHA – механизм проверки, который помогает обойти стандартные меры защиты и усложняет распознавание ботов.Современные тенденции регистрации европейских кодов стран (ccTLD), включая .es, обычно предполагают более строгие требования к владельцам доменов, ограничивающие массовые и анонимные регистрации. Однако факт роста числа фишинговых активностей на этом фоне свидетельствует, что злоумышленники нашли способ использовать преимущества этих доменов, обходя традиционные барьеры и применяя автоматизированные инструменты для создания большого количества поддоменов.Кроме того, специалисты отмечают, что использование .
es доменов распространяется не одним-двумя специализирующимися группами. Это скорее массовый тренд среди многих групп киберпреступников с разными мотивациями, что подтверждается разнообразием целей и методов атак. Невысокий уровень креативности в подборе брендов для подделок и единый вектор среди сообщений предполагают, что данная тактика становится стандартной практикой, а не уникальной фишкой отдельных узких групп.Последствия подобных атак ощутимы для конечных пользователей и организаций. Потеря учетных данных ведет к взлому корпоративных аккаунтов, финансовым потерям, утечкам конфиденциальных данных и снижению доверия к электронной коммуникации.
Особенно уязвимыми оказываются компании с крупной базой сотрудников и клиентов, а также все пользователи, которые не привыкли внимательно проверять URL-адреса и содержание писем.Для защиты от подобных угроз рекомендуется повышать осведомленность пользователей и внедрять многоуровневые меры безопасности. Важна тщательная проверка адресов писем и веб-сайтов, особенно если в сообщении есть просьбы ввести логин и пароль. Организациям следует интегрировать решения для выявления фишинга, использовать многофакторную аутентификацию, регулярно обновлять антивирусные базы и блокировать подозрительные IP и домены.Кроме того, компании и специалисты по кибербезопасности рекомендуют сотрудничать с регистраторами доменов и хостинг-провайдерами в целях быстрого реагирования на случаи нарушения правил и удаления вредоносного контента.
Обратная связь и динамичная работа с такими платформами, как Cloudflare, поможет снизить масштаб распространения мошеннических сайтов.Рост использования .es доменов для фишинга – это предупреждающий сигнал о необходимости не ослаблять бдительность и постоянно адаптировать методы защиты к новым реалиям. Использование национальных доменов для мошенничества показывает, что злоумышленники идут в ногу с техническим прогрессом и стремятся максимально эффективно использовать любой ресурс, который может повысить их успешность.Подводя итоги, важно помнить, что самый надежный способ защитить себя от фишинговых атак – это внимательное отношение к электронным письмам, проверки URL-адресов и применение современных средств аутентификации и безопасности.
А для специалистов и компаний – постоянный мониторинг угроз и активное сотрудничество с профильными организациями, чтобы своевременно выявлять и блокировать новые атаки, независимо от выбранного злоумышленниками домена. В мире цифровых коммуникаций только осведомленность и проактивная позиция помогут сохранить безопасность и доверие пользователей.
