Analiza domeny kontrahenta w 10 minut: WHOIS, DNS, historia i czerwone flagi, które warto sprawdzić przed przelewem

Przez
Filip Sikora
-
0
5
Rate this post

Nawigacja po artykule:

Dlaczego domena kontrahenta to pierwszy filtr bezpieczeństwa przed przelewem

Podszywanie się pod domeny firm – jak wygląda typowy scenariusz ataku

Większość głośnych oszustw na „zmianę numeru konta” zaczyna się od bardzo prostej rzeczy: ktoś podszywa się pod domenę firmy. Przestępcy nie muszą włamywać się na serwery, często wystarczy im rejestracja domeny myląco podobnej do oryginalnej. Różnica to jedna litera, dodatkowa kreska, inna końcówka (.com zamiast .pl) albo użycie znaków łudząco podobnych – tzw. homografy.

Oszust rejestruje nową domenę, stawia na niej prostą stronę albo nawet pustą witrynę, ale konfiguruje pocztę. Następnie wysyła e-mail do Twojej firmy: „Zmiana rachunku bankowego, prosimy aktualizować w systemie”. Na pierwszy rzut oka adres wygląda dobrze – bo mózg „dopowiada” sobie znaną nazwę. W tym miejscu to Ty jesteś ostatnim filtrem bezpieczeństwa. System bankowy nie wykryje, że coś jest nie tak, jeśli przelew zrobisz dobrowolnie.

Różnicę widać dopiero, gdy porówna się dokładnie domenę z faktury lub maila z tą, której firma używała historycznie. Rzetelny kontrahent zwykle ma spójną domenę przez lata. Oszust – świeżutką, zarejestrowaną kilka dni temu, często w tanim, egzotycznym rejestratorze. Tę informację w kilka sekund pokazuje WHOIS.

Dane firmy vs domena – dwa różne poziomy weryfikacji

Sprawdzenie NIP, KRS lub CEIDG mówi, czy firma istnieje prawnie. Nie odpowiada jednak na inne kluczowe pytanie: czy ta konkretna domena, z której przyszła faktura lub e-mail, faktycznie należy do tej firmy. Oszust może użyć prawdziwych danych spółki, wstawić je na fałszywy dokument i dodać swój numer konta. Papiery wyglądają realistycznie, a mimo to przelew trafi na konto przestępcy.

Domena jest jak szyld na budynku. To, że na fakturze widzisz „Duża Spółka z o.o.”, nie oznacza, że wiadomość z adresu biuro@duza-spolka-pl.com pochodzi z tej spółki. Zestawiając dane rejestrowe firmy (NIP, KRS, adres) z informacjami z WHOIS oraz DNS domeny, możesz ocenić spójność: kraj, nazwa organizacji, wiek domeny, typ rejestratora, certyfikat SSL, konfiguracja poczty.

W praktyce oznacza to, że przy kwotach wyższych niż „kieszonkowe” liczy się prosta procedura: najpierw weryfikacja firmy w rejestrach, a następnie krótka, powtarzalna analiza domeny. Dopiero po przejściu obu etapów decyzja o przelewie ma sens.

Co można wyczytać z domeny w kilka minut

Analiza domeny kontrahenta w 10 minut nie oznacza głębokiej analizy bezpieczeństwa w stylu specjalistów od cyberbezpieczeństwa. Chodzi o odfiltrowanie najbardziej podejrzanych przypadków. W tym czasie można ustalić m.in.:

  • od kiedy domena istnieje i czy to świeża rejestracja przed dużą transakcją,
  • kto jest rejestratorem i czy jest to wiarygodny podmiot,
  • jakie są serwery nazw (NS) i gdzie realnie leży hosting,
  • czy domena ma poprawnie ustawioną pocztę (rekordy MX, SPF, DKIM, DMARC),
  • czy domena pojawia się w bazach spamowych lub listach złośliwych stron,
  • jak wygląda historia treści w archiwach stron (np. czy nie była wcześniej rosyjskim sklepem z lekami lub kasynem).

Połączenie tych sygnałów daje prostą ocenę ryzyka: „zielone światło” przy przelewie, „żółte” przy potrzebie dodatkowego telefonu do kontrahenta, albo „czerwone” – wstrzymanie płatności i dokładniejsza weryfikacja.

Krótki przykład z życia: jeden znak, setki tysięcy złotych

Typowy przypadek z polskiego rynku: dział księgowości w średniej firmie otrzymuje maila od „wieloletniego dostawcy” z informacją o zmianie rachunku bankowego. Adres: faktury@dostawca-pl.com, podczas gdy prawidłowa domena dostawcy to dostawca.pl. Różnica to dodatkowy człon „-pl.com”. W ferworze pracy nikt tego nie analizuje. Pojawia się faktura na dużą kwotę, przelew idzie na nowe konto. Po kilku dniach okazuje się, że prawdziwy dostawca pieniędzy nie otrzymał, a domena z „-pl.com” została zarejestrowana trzy tygodnie wcześniej na anonimowego abonenta w innym kraju.

Takim sytuacjom da się w dużej mierze zapobiegać, jeśli w procesie akceptacji przelewów pojawi się prosty krok: analiza domeny kontrahenta przed zmianą numeru konta. To dosłownie kilka kliknięć.

Jak przygotować się do 10‑minutowej analizy: dane wejściowe i narzędzia

Co mieć pod ręką przed startem analizy

Sprawdzanie domeny kontrahenta idzie szybko, jeśli nie tracisz czasu na szukanie podstawowych informacji. Przed rozpoczęciem analizy przygotuj:

  • nazwę domeny – dokładnie z maila, faktury lub strony (bez literówek),
  • pełną nazwę firmy – zgodnie z dokumentami lub rejestrem (KRS/CEIDG),
  • NIP lub numer KRS kontrahenta,
  • adres siedziby (miasto, kraj),
  • ostatnie faktury / umowy od tego kontrahenta (jeśli to nie pierwsza współpraca),
  • adresy e-mail, z których wcześniej prowadzona była korespondencja.

Te dane pozwolą szybko porównać informacje z WHOIS i DNS z rzeczywistością. Przykład: domena zarejestrowana na abonenta w Azji przy firmie z KRS z siedzibą w Polsce – to sygnał do zadania dodatkowych pytań.

Darmowe narzędzia do sprawdzania domeny kontrahenta

Do analizy domeny przed przelewem wystarczą darmowe, łatwo dostępne narzędzia online. Najważniejsze kategorie:

  • WHOIS – np. whois.domaintools.com, who.is, whoxy.com, dla .pl także: dns.pl/whois,
  • DNS – webowe wersje dig/nslookup: mxtoolbox.com, toolbox.googleapps.com/apps/dig, dnschecker.org,
  • Historia stron – archive.org (Wayback Machine), czasem webcache w wyszukiwarkach,
  • Reputacja domeny/IP – virustotal.com, talosintelligence.com, mxtoolbox (blacklist check),
  • Informacje o IP – ipinfo.io, db-ip.com, abuseipdb.com,
  • Certyfikat SSL – po wejściu na stronę: kliknięcie w kłódkę w przeglądarce, dodatkowo ssllabs.com/ssltest.

Warto mieć te adresy zapisane w prostym dokumencie lub jako folder zakładek w przeglądarce. Wtedy cała analiza to przełączanie się między kilkoma otwartymi kartami zamiast ręcznego wklepywania adresów.

Różnice między WHOIS dla domen .pl, .com, .eu i innych

WHOIS działa inaczej w zależności od końcówki (TLD). Przy domenach .pl operatorem jest NASK, przy .com i .net – rejestr Verisign, przy .eu – EURid. Każdy rejestr i rejestrator ma własną politykę ujawniania danych. Po wejściu RODO wiele danych abonentów zostało ukrytych, szczególnie przy osobach fizycznych.

Typowe różnice, które zobaczysz:

  • .pl – często widać datę rejestracji, rejestratora, statusy domeny, serwery nazw. Dane abonenta bywają zanonimizowane, ale przy firmach częściej da się coś wyczytać (nazwa organizacji, kraj).
  • .com / .net – WHOIS bywa „przykryty” przez dostawców prywatności (privacy/proxy). Widać jednak daty, rejestratora, serwery nazw. Częściej spotkasz tu egzotycznych rejestratorów.
  • .eu – WHOIS jest bardziej ograniczony, ale nadal widać kluczowe informacje o dacie rejestracji, rejestratorze i statusie.

Brak pełnych danych nie oznacza od razu oszustwa. Powinien jednak skłonić do dokładniejszego zderzenia pozostałych sygnałów: historii, DNS, treści strony, zachowania maili.

Mini-checklista: co otworzyć w przeglądarce na start

Żeby rzeczywiście zmieścić się w 10 minutach, przyjmij stały zestaw kart, które otwierasz przy każdym nowym lub „podejrzanym” przelewie:

  • zakładka 1: WHOIS domeny,
  • zakładka 2: DNS / dig – wyniki NS, A, MX, TXT,
  • zakładka 3: strona WWW kontrahenta – główna domena i podstrona „Kontakt”,
  • zakładka 4: historia strony (Wayback Machine),
  • zakładka 5: reputacja domeny/IP (np. VirusTotal lub Talos),
  • zakładka 6: rejestr firm (KRS/CEIDG/VIES) – do porównania danych.

Przygotowanie tego „kokpitu” to jednorazowa inwestycja czasu. Później każda analiza to kilkanaście kliknięć i notatka, czy widzisz zielone, żółte, czy czerwone sygnały.

Mężczyzna w czarnej bluzie analizuje bezpieczeństwo domen na kilku monitorach
Źródło: Pexels | Autor: Tima Miroshnichenko

WHOIS od podstaw: jakie informacje o domenie są kluczowe

Co tak naprawdę zawiera WHOIS i które pola mają znaczenie biznesowe

WHOIS to rejestr informacji o domenie. Z punktu widzenia osoby decydującej o przelewie, kluczowe są głównie następujące elementy:

  • Creation Date / Registered On – data rejestracji domeny,
  • Updated Date / Last Modified – data ostatniej modyfikacji danych domeny,
  • Expiry Date / Renewal Date – kiedy domena wygasa,
  • Registrar – firma, u której domena została zarejestrowana,
  • Registrant / Organization – abonent, czyli formalny „właściciel” domeny (jeśli widoczny),
  • Country / State – kraj abonenta (jeśli podany),
  • Name Servers (NS) – serwery nazw obsługujące domenę.

W praktyce nie interesuje Cię każdy techniczny szczegół. Liczy się ogólny obraz: czy domena jest nowa czy stara, czy stoi za nią normalna, znana firma, czy egzotyczny, tani rejestrator, czy kraj rejestracji pasuje do deklarowanego miejsca działalności kontrahenta i czy pojawia się nazwa organizacji zbliżona do tej z faktury.

RODO, prywatność i pośrednicy w WHOIS

Po wprowadzeniu RODO wiele rejestrów przestało pokazywać pełne dane abonentów, szczególnie osób fizycznych. Zamiast nazwy i adresu widzisz ogólne wpisy typu „Data protected, privacy service provided by…”. Pojawiły się także usługi privacy/proxy: domena jest formalnie zarejestrowana na pośrednika, który ukrywa dane klienta końcowego.

Przy małych sklepach, freelancerach czy blogach takie rozwiązanie jest normalne – ludzie nie chcą publicznie ujawniać prywatnych adresów. Przy większych umowach B2B i dużych kwotach brak jakichkolwiek danych organizacji za domeną jest jednak sygnałem, że trzeba szukać dodatkowego potwierdzenia: telefon na numer z KRS, e-mail na oficjalny adres figurujący na stronie, lub dodatkowa weryfikacja przez inne kanały.

Wygląd WHOIS może więc różnić się mocno między domenami. Kluczowe, żeby nie traktować braku danych jako „wystarczającego powodu zaufania”. Brak informacji nie jest dowodem uczciwości, tylko brakującym elementem układanki.

Data rejestracji domeny a poziom ryzyka transakcji

Data rejestracji to jedna z najważniejszych informacji w kontekście oszustw. Domena zarejestrowana kilka dni czy tygodni temu przy dużym kontrakcie B2B to klasyczna czerwona flaga. Przestępcy często rejestrują domeny jednorazowo pod konkretną kampanię phishingową, po czym porzucają je, gdy zaczną trafiać na czarne listy.

Domeny działających od lat firm zazwyczaj:

  • są zarejestrowane od kilku lat lub dłużej,
  • mają historię odnowień,
  • pojawiają się w archiwach stron z wcześniejszymi wersjami serwisu.

Oczywiście zdarzają się wyjątki – np. rebranding i zmiana domeny. Wtedy jednak zwykle pojawia się o tym informacja na stronie, a komunikacja prowadzona jest równolegle ze starej i nowej domeny. Jeżeli przy dużej, rzekomo istniejącej od lat firmie widzisz domenę zarejestrowaną 2 tygodnie temu, lepiej wykonać kilka dodatkowych telefonów, zanim przelejemy pieniądze.

Rejestrator domeny – sygnał o poziomie profesjonalizacji

Rejestrator to firma, u której domena została zarejestrowana. W WHOIS znajdziesz nazwę typu „OVH SAS”, „home.pl S.A.”, „GoDaddy.com, LLC”, ale też mniej znane i lokalne podmioty. Sam wybór rejestratora nie decyduje o uczciwości, natomiast bywa cenną przesłanką.

Jak czytać daty odnowień i wygasania domeny

W WHOIS przy każdej domenie widzisz datę rejestracji oraz daty odnowień i wygaśnięcia. To prosty, ale mocny wskaźnik stabilności. Przy przelewach B2B zwróć uwagę na trzy rzeczy:

  • krótki okres do wygaśnięcia – jeśli domena wygasa za kilka dni lub tygodni, a chodzi o umowę na wiele miesięcy, to sygnał, że trzeba zadać pytanie, czy firma faktycznie z niej korzysta długoterminowo,
  • częste, krótkie odnowienia (na rok „z roku na rok”) przy dużej firmie – to nie jest samo w sobie podejrzane, ale przy innych sygnałach (nowa domena, brak danych organizacji) składa się na obraz „tymczasowego” projektu,
  • nagłe zmiany w danych WHOIS (ostatnia modyfikacja np. wczoraj) – w połączeniu ze zmianą numeru konta bankowego może oznaczać przejęcie domeny albo zmianę właściciela.

Przykład z praktyki: stały dostawca pisze mail, że „zmienił się numer rachunku, prosimy o aktualizację danych”. Równolegle widzisz w WHOIS, że domena została kilka dni temu przeniesiona do innego rejestratora i zmienił się abonent. To nie jest moment na automatyczną akceptację nowego konta – tylko na telefon na oficjalny, znany wcześniej numer.

Abonent domeny a dane z faktury i rejestru firm

Nawet jeśli RODO czy usługa prywatności zasłaniają część informacji, w WHOIS często pojawiają się:

  • nazwa organizacji,
  • kraj lub miasto,
  • kontakt e-mail lub URL do formularza kontaktowego rejestratora.

Podstawowe ćwiczenie to porównanie tych danych z fakturą i rejestrem firm. Pytania, które warto zadać:

  • czy nazwa firmy jest choćby zbliżona do tej z faktury / KRS,
  • czy kraj abonenta zgadza się z krajem siedziby,
  • czy adres e-mail do kontaktu z domeną ma tę samą domenę, na którą masz wystawić fakturę.

Nie chodzi o idealną zgodność każdej literki. Przy grupach kapitałowych domena może być zarejestrowana na spółkę matkę lub wyspecjalizowaną spółkę IT. Jeśli jednak w WHOIS widzisz prywatną osobę z innego kontynentu, a faktura jest od „dużej spółki z Warszawy” – wymaga to dodatkowego wyjaśnienia.

Statusy domeny – kiedy techniczne szczegóły stają się alarmem

W wynikach WHOIS pojawiają się statusy typu „ok”, „clientTransferProhibited”, „redemptionPeriod”, „pendingDelete”. Z biznesowego punktu widzenia liczy się głównie to, czy domena jest stabilnie aktywna:

  • „ok”, „active” – domena działa normalnie,
  • „clientTransferProhibited” – standardowa blokada transferu, częsta przy zadbanych domenach,
  • „redemptionPeriod”, „pendingDelete” – domena jest po terminie odnowienia i na krawędzi wygaśnięcia,
  • „hold”, „serverHold” – domena może być zablokowana przez rejestratora lub rejestr (np. spory, nadużycia).

Jeżeli przy domenie kontrahenta widzisz statusy sugerujące zbliżające się wygaśnięcie lub blokadę, a równocześnie kontrahent prosi o duży przedpłatowy przelew, taka niespójność powinna trafić do notatki ryzyka i zostać skomentowana przez osobę decyzyjną.

Analiza WHOIS w praktyce: czerwone flagi i żółte lampki

Typowe czerwone flagi w danych WHOIS

Przy analizie WHOIS dobrze mieć prostą listę sytuacji, które wymagają wstrzymania przelewu lub przynajmniej dodatkowej autoryzacji. Do mocnych sygnałów ostrzegawczych należą:

  • domena zarejestrowana niedawno (dni/tygodnie) dla rzekomo wieloletniej firmy,
  • częste zmiany abonenta lub rejestratora w niedużym odstępie czasu,
  • dane abonenta z innego kraju niż siedziba kontrahenta z KRS/CEIDG/faktury, jeśli nie ma sensownego wyjaśnienia (np. globalna grupa),
  • egzotyczny rejestrator domeny, którego nazwa nic nikomu w firmie nie mówi i którego reputacji nie da się łatwo zweryfikować,
  • brak jakichkolwiek danych organizacji przy wysokiej wartości transakcji B2B,
  • statusy sugerujące wygasanie lub blokadę domeny, gdy kontrahent obiecuje długofalową współpracę.

Każda z tych sytuacji nie musi oznaczać oszustwa, ale w połączeniu z innymi sygnałami (zmiana konta bankowego, kontrahent „pilnie naciska” na przelew, brak telefonu odbieranego z oficjalnego numeru) powinna zatrzymać proces płatności.

Żółte lampki: sytuacje neutralne, które wymagają komentarza

Jest też grupa sygnałów niejednoznacznych – same w sobie nie są powodem do blokady płatności, ale warto je odnotować i omówić, zwłaszcza przy większych kwotach. Przykładowo:

  • prywatność WHOIS przy małej firmie – normalne, jeśli kontrahent działa od lat i dane są spójne z innymi źródłami,
  • domena w innej końcówce niż kraj działalności (np. .com dla polskiej firmy) – standard przy firmach działających szerzej niż lokalnie,
  • umiarkowanie nowa domena (np. 6–18 miesięcy) przy marce po rebrandingu,
  • rejestrator zagraniczny (np. amerykański) przy polskiej spółce – coraz częstsze przy firmach technicznych.

Takie przypadki zwykle rozstrzyga rozmowa z kontrahentem i zestawienie pozostałych danych: historia w Wayback Machine, opinie w sieci, spójność adresów e-mail i danych kontaktowych na stronie.

Jak dokumentować wyniki analizy WHOIS

Aby analiza była powtarzalna, warto prowadzić prosty log. Wystarczy tabela (arkusz) z kolumnami:

  • domena,
  • data rejestracji,
  • data wygaśnięcia,
  • rejestrator,
  • kraj / typ abonenta (firma / prywatny / ukryty),
  • krótki opis sygnałów (zielone/żółte/czerwone),
  • decyzja: „OK”, „OK po dodatkowej weryfikacji”, „wstrzymać płatność”.

Taki arkusz jest później przydatny przy audytach, zmianie osób na stanowiskach decyzyjnych czy sporach. Pokazuje, że konkretne decyzje o przelewie były poprzedzone racjonalną analizą, a nie intuicją.

DNS na chłodno: serwery nazw, hosting i techniczne ślady

Co mówi o kontrahencie konfiguracja DNS

Rekordy DNS to mapa techniczna domeny. Nie trzeba być adminem, żeby wyciągnąć z niej wnioski biznesowe. W praktyce sprawdzisz głównie:

  • NS – gdzie utrzymywana jest strefa DNS,
  • A/AAAA – na jakie IP wskazuje domena,
  • MX – gdzie trafia poczta z tej domeny,
  • TXT (SPF, DKIM, DMARC) – czy poczta jest zabezpieczona przed podszywaniem się.

Te informacje pozwalają ocenić, czy za domeną stoi normalna infrastruktura firmy, czy tymczasowa konstrukcja „na szybko” pod jedną kampanię. Przy poważnym koncie B2B domena kontrahenta rzadko siedzi na anonimowym, darmowym hostingu bez żadnych zabezpieczeń poczty.

Serwery nazw (NS) – gdzie faktycznie „żyje” domena

Serwery nazw wskazują, kto obsługuje DNS dla domeny. Najczęstsze przypadki to:

  • NS dużych dostawców (np. home.pl, nazwa.pl, OVH, Cloudflare) – standard przy małych i średnich firmach,
  • NS własne (np. ns1.firma.pl) – częstsze przy większych, technicznych firmach,
  • bardzo egzotyczne NS – mało znane, pojedyncze serwery z rzadko spotykanych krajów.

Nie trzeba od razu skreślać firmy za korzystanie z rzadziej spotykanego hostingu. Jeśli jednak NS są na mało wiarygodnie wyglądającej infrastrukturze, domena jest świeża, a kontrahent naciska na pośpiech przy przelewie, taki zestaw sygnałów nie powinien zostać zignorowany.

Rekordy A i lokalizacja IP – co da się z nich wyciągnąć

Rekord A wskazuje adres IP serwera WWW. W połączeniu z serwisami typu ipinfo.io czy db-ip.com możesz sprawdzić:

  • kraj i miasto serwera,
  • dostawcę usług hostingowych (ISP),
  • czy IP nie jest adresem domowym / mobilnym, zamiast profesjonalnego hostingu.

Przykładowe pytania kontrolne:

  • czy serwer WWW jest w kraju, w którym firma deklaruje działalność (nie musi być, ale często jest),
  • czy IP należy do znanego centrum danych, czy jest to adres jakiegoś lokalnego dostawcy internetu,
  • czy strona jest dostępna stabilnie, działa pod HTTPS, a nie np. przekierowuje na chaos reklamowy.

Są branże, gdzie hosting za granicą jest normalny (np. firmy SaaS, agencje marketingowe). Jeśli jednak lokalna firma usługowa z małego miasta ma domenę wskazującą na serwer w innym kontynencie, świeżo założoną i bez historii, wypada zadać pytanie „dlaczego tak?”.

Rekordy MX – gdzie mieszkają maile kontrahenta

Rekordy MX mówią, gdzie trafia poczta z domeny. Dla weryfikacji przelewów to jeden z ważniejszych elementów, bo większość ataków dzieje się właśnie przez e-mail.

Typowe, zdrowe konfiguracje:

  • maile obsługują duże usługi chmurowe (np. Google Workspace, Microsoft 365),
  • MX wskazują na sensownego dostawcę hostingu, tego samego co dla WWW,
  • jest kilka priorytetowych rekordów MX (nie jeden samotny serwer bez zapasowego).

Niepokojące sygnały przy MX:

  • brak rekordów MX – przy poważnej firmie, która intensywnie do Ciebie pisze z tej domeny,
  • MX wskazują na zupełnie innego operatora niż sugeruje to strona WWW, przy jednoczesnych innych nieścisłościach,
  • MX skonfigurowane „na kolanie”, tylko jeden serwer, często zmieniane adresy, brak dodatkowych zabezpieczeń.

Przykład z życia: kontrahent twierdzi, że korzysta z Microsoft 365, ale w rekordach MX nie ma żadnych serwerów Microsoftu, tylko enigmatyczny serwer gdzieś w Azji. Do tego prośba o zmianę numeru konta przy dużym przelewie. To klasyczny moment na wstrzymanie transakcji i próbę kontaktu drugim kanałem (np. telefon z książki kontaktów działu handlowego).

SPF, DKIM, DMARC – techniczne detale, które pomagają przy przelewach

W rekordach TXT często znajdziesz ustawienia SPF, DKIM i DMARC. To standardowe mechanizmy zabezpieczające pocztę. Nie musisz rozumieć każdego parametru, wystarczy kilka prostych obserwacji:

  • SPF istnieje i wskazuje sensownych nadawców (np. serwery Google, Microsoft lub hostingu),
  • w DMARC pojawia się choćby podstawowa polityka (np. „p=none” lub „p=quarantine”),
  • nie ma wielu sprzecznych rekordów SPF (więcej niż jeden SPF w domenie to błąd).

Brak tych mechanizmów nie musi oznaczać oszustwa, ale sugeruje mniejszą świadomość bezpieczeństwa po stronie kontrahenta. Gdy ktoś przy dużej transakcji komunikuje się z domeny, która nie ma żadnego SPF i DMARC, a do tego domena jest świeża – poziom ryzyka rośnie.

Historia zmian DNS i rozbieżności z treścią korespondencji

Czasami narzędzia online pozwalają podejrzeć historię rekordów DNS (np. wcześniejsze IP czy NS). To szczególnie przydatne, gdy:

  • pojawia się nagła zmiana numeru konta,
  • korespondencja e-mail wygląda inaczej niż dotychczas,
  • kontrahent twierdzi, że „od dawna korzysta z nowej domeny”.

Jeśli widzisz, że jeszcze miesiąc temu domena wskazywała na zupełnie inny serwer, nie miała skonfigurowanych MX albo była zaparkowana u rejestratora, a teraz służy do wysyłki „pilnie prosimy o przelew” – to silny argument, by zadzwonić do kontrahenta na znany, stary numer telefonu i zweryfikować komunikat.

Prosty schemat 3-minutowej analizy DNS przed przelewem

Przy podejrzanym przelewie możesz trzymać się krótkiej procedury:

  1. Otwórz narzędzie typu mxtoolbox lub dig online i sprawdź NS, A i MX.
  2. Porównaj kraj i dostawcę IP z deklarowanym krajem działalności firmy.
  3. Sprawdź, czy istnieją SPF/DKIM/DMARC i czy nie wyglądają na kompletny chaos.
  4. Jeśli coś „zgrzyta” (świeża domena, dziwne MX, egzotyczny hosting) – wstrzymaj przelew i zadzwoń do kontrahenta na znany numer.

Całość zajmuje kilka minut i nie wymaga dostępu do żadnych wewnętrznych systemów – da się to zrobić nawet z telefonu.

Zbliżenie ekranu komputera z zielonym panelem bezpieczeństwa danych
Źródło: Pexels | Autor: Tima Miroshnichenko

Historia domeny: Wayback Machine, reputacja i ślady w sieci

Wayback Machine – jak sprawdzić, co stało na domenie rok temu

Archive.org (Wayback Machine) to najprostsze narzędzie do weryfikacji historii strony. Wpisujesz domenę i dostajesz kalendarz z datami, kiedy robot zarchiwizował jej zawartość.

Na co spojrzeć w pierwszej kolejności:

  • pierwsze archiwum – od kiedy cokolwiek tam realnie działa,
  • ciągłość treści – czy strona „rosła” w sposób naturalny, czy była długie lata pusta, a nagle stała się „liderem branży”,
  • profil działalności – czy w 2019 r. to też była firma budowlana, czy może sklep z kryptowalutami,
  • zmiany nazwy / logotypu – szczególnie, gdy kontrahent tłumaczy się rebrandingiem.

Jeżeli przez lata widać sensowną, spójną stronę, a zmiany wyglądają na naturalny rozwój – plus dla kontrahenta. Jeśli natomiast domena przez 10 lat była parkingiem reklamowym, a miesiąc temu „urodziła się” nowa spółka z ogromnymi referencjami, to sygnał ostrzegawczy.

Typowe czerwone flagi w historii strony

Przy przeglądaniu archiwów często pojawiają się powtarzalne wzorce ryzyka. Kilka z nich:

  • skokowa zmiana profilu – wczoraj porno / hazard, dziś „kancelaria prawna”,
  • brak jakichkolwiek archiwów przy rzekomej „20-letniej firmie”,
  • czesta zmiana danych kontaktowych (adresy, telefony, nazwa firmy w stopce),
  • znikające sekcje – np. dawna zakładka „Realizacje” znika tuż przed prośbą o większy przelew.

Sam jeden z tych sygnałów nie przesądza o oszustwie. W połączeniu z młodym wiekiem domeny, brakiem spójności w KRS i podejrzaną korespondencją e-mail robi się jednak niebezpieczna mieszanka.

Reputacja domeny: listy spamowe, czarne listy i opinie

Domena, z której przychodzą maile z prośbą o przelew, może być już gdzieś oznaczona jako problematyczna. Przy podejrzanej sytuacji warto w kilka minut to sprawdzić:

  • skanery RBL / blacklist (np. mxtoolbox, multi rbl check),
  • narzędzia do reputacji domeny stosowane w e-mail marketingu,
  • proste wyszukiwanie: "domena.pl" oszustwo, "domena.pl" scam, "domena.pl" opinie.

Jeśli domena pojawia się na kilku listach spamowych, a do tego w sieci są świeże wpisy o „podejrzanych mailach z fakturą” – ryzyko jest znaczące. Przy dużych kwotach lepiej poświęcić dodatkowe 15 minut na telefon i potwierdzenie przelewu u źródła.

Powiązane domeny i klony strony

Przestępcy często tworzą wiele bardzo podobnych domen: z mylącą literą, inną końcówką lub dodatkową kreską. Wystarczy proste porównanie:

  • czy w korespondencji pojawiają się różne wersje domeny (np. w stopce e-mail, na fakturze, na stronie),
  • czy domena z maila i domena na fakturze na pewno są identyczne (literka po literce),
  • czy istnieją bliźniacze domeny (np. z inną końcówką), na których jest podobna strona.

Przykładowy scenariusz: współpraca z kontrahentem od lat, ale ktoś przejmuje wątek e-mail i podmienia domenę na bardzo podobną (np. literę „l” na „I”). Strona wygląda niemal tak samo, tylko numer rachunku jest inny. Bez takiej check-listy zmiany często przechodzą niezauważone.

Praktyczny 10‑minutowy workflow: od maila z fakturą do decyzji

Minuta 1–2: weryfikacja domeny z adresu e-mail

Startujesz od tego, co masz pod ręką – zazwyczaj to adres nadawcy faktury.

  1. Odseparuj domenę z adresu e-mail (część po „@”).
  2. Sprawdź, czy domena z e-maila jest identyczna jak na:
    • fakturze,
    • wcześniejszych ustaleniach / umowie,
    • stronie internetowej kontrahenta zapisanej w CRM.
  3. Jeżeli pojawia się nowa domena, której wcześniej nie było w relacji – zaznacz sprawę jako „do dokładniejszej weryfikacji”.

Minuta 3–5: szybki WHOIS i podstawowe sygnały

W następnym kroku sprawdzasz wiek i właściciela domeny. Nawet bardzo proste narzędzie WHOIS wystarczy.

  1. Zanotuj datę rejestracji i datę wygaśnięcia.
  2. Sprawdź, czy:
    • domena nie jest młodsza niż ostatnie kontakty z kontrahentem,
    • data wygaśnięcia nie jest „jutro” przy rzekomo poważnej firmie,
    • abonent (jeśli widać) pasuje do danych w umowie / KRS.
  3. Oceń w 3 słowach: zielono / żółto / czerwono. Jeśli wychodzi „czerwono” – od razu przygotuj się na telefoniczne potwierdzenie przelewu.

Minuta 6–8: DNS i konfiguracja poczty

Teraz szybki rzut oka na serwery nazw, hosting i pocztę.

  1. Sprawdź NS, A, MX w jednym z ogólnodostępnych narzędzi.
  2. Porównaj:
    • kraj IP serwera WWW z krajem działalności firmy,
    • czy MX są spójne z deklaracjami (Google, Microsoft itd.),
    • czy SPF/DMARC w ogóle istnieją.
  3. Jeśli DNS „świeci na czerwono” (świeża domena, dziwny hosting, brak MX) – wstrzymaj przelew i przejdź do weryfikacji drugim kanałem.

Minuta 9–10: historia i szybka kwerenda w sieci

Na koniec krótki rzut oka w przeszłość i do wyszukiwarki.

  1. Sprawdź w Wayback Machine, czy:
    • strona istnieje dłużej niż kilka tygodni,
    • profil działalności był spójny w czasie.
  2. Wpisz w wyszukiwarkę nazwę domeny + słowa kluczowe typu „oszustwo”, „fraud”, „opinie”.
  3. Zanotuj wynik w swoim arkuszu (zielone/żółte/czerwone) i podejmij decyzję:
    • OK – przelew, gdy obraz jest spójny i brak poważnych sygnałów ostrzegawczych,
    • OK po telefonie, gdy są drobne niejasności,
    • wstrzymać płatność, gdy kilka sygnałów jednocześnie wskazuje na wysokie ryzyko.

Integracja analizy domeny z procesami w firmie

Prosty standard operacyjny (SOP) dla księgowości i zakupów

Żeby ta analiza realnie działała, musi być częścią procedury, a nie „dobrej woli” pojedynczej osoby. W praktyce przydaje się krótki SOP, który mówi jasno:

  • przy pierwszym przelewie do nowego kontrahenta powyżej określonej kwoty analiza domeny jest obowiązkowa,
  • przy zmianie numeru konta u stałego kontrahenta analiza domeny jest obowiązkowa niezależnie od kwoty,
  • każda analiza zostaje udokumentowana w arkuszu lub w systemie obiegu faktur,
  • w przypadku sygnałów „czerwonych” bez zgody przełożonego przelew nie wychodzi.

Taki prosty dokument można zmieścić na jednej stronie A4 i omówić na krótkim szkoleniu działu finansów oraz zakupów.

Podział ról: kto co sprawdza przy domenie

Nie wszystko musi robić ta sama osoba. Przy większej firmie można podzielić odpowiedzialność:

  • pracownik księgowości – podstawowy WHOIS, wiek domeny, zgodność nazwy z fakturą i KRS,
  • specjalista ds. zakupów – sensowność domeny względem profilu działalności,
  • IT / administrator – szybki rzut oka na DNS przy nietypowych przypadkach,
  • przełożony – decyzja przy czerwonych flagach, akceptacja ryzyka lub blokada.

Istotne, żeby proces był jasny: kto ma prawo wstrzymać przelew, kiedy trzeba eskalować sprawę i jak szybko powinna zapaść decyzja, żeby nie blokować normalnego biznesu.

Szkolenie pracowników: na co uczulić zespół

Większość spektakularnych przelewów na fałszywe konta zaczyna się od jednego nieuważnego kliknięcia. Kilka punktów, które dobrze omówić z zespołem:

  • zawsze sprawdzaj dokładną domenę w adresie e-mail (nie tylko nazwę nadawcy),
  • zmiana numeru konta = obowiązkowy telefon na wcześniej znany numer,
  • nie potwierdzaj przelewów przez linki w mailu prowadzące do „panelu” rzekomego kontrahenta,
  • w razie wątpliwości lepiej zadać jedno pytanie za dużo niż przelać pieniądze w złą stronę.

Dobrze działa pokazanie jednego czy dwóch realnych przypadków (nawet anonimowo) z własnej branży – wtedy „sucha” analiza domeny nagle zyskuje bardzo konkretny kontekst.

Minimalny zestaw narzędzi w firmie

Nie ma potrzeby budować zaawansowanego SOC, żeby sprawdzać domeny. W zupełności wystarczy kilka stałych elementów:

  • 1–2 serwisy WHOIS zapisane w zakładkach przeglądarki,
  • proste narzędzie online do DNS / MX lookup,
  • link do Wayback Machine,
  • wzór arkusza do logowania analiz,
  • krótka instrukcja PDF lub w intranecie z krokami „co sprawdzić przed przelewem”.

Kluczowe jest, żeby zespół wiedział, że korzystanie z tych narzędzi nie jest „opcją”, tylko normalnym elementem pracy przy większych przelewach lub zmianach rachunków.

Najczęściej zadawane pytania (FAQ)

Jak szybko sprawdzić, czy domena kontrahenta jest prawdziwa przed przelewem?

Najprostszy schemat to kilka kroków w stałej kolejności. Najpierw porównaj dokładnie domenę z wcześniejszą korespondencją lub fakturami (literówki, dodatkowe myślniki, inna końcówka .com zamiast .pl). Potem uruchom WHOIS i sprawdź datę rejestracji, rejestratora oraz kraj abonenta.

Następnie w narzędziu DNS (np. mxtoolbox) zobacz serwery nazw (NS), rekord A (gdzie stoi strona) i rekordy pocztowe (MX, SPF, DKIM, DMARC). Jeśli coś wygląda „świeżo” lub egzotycznie, zajrzyj do historii strony w archive.org i do baz reputacji (VirusTotal, Talos). Całość przy odrobinie wprawy zajmuje kilka minut.

Na co zwrócić uwagę w WHOIS domeny przed wykonaniem przelewu?

Kluczowe są: data rejestracji (świeża domena przy wieloletniej współpracy to sygnał ostrzegawczy), nazwa i kraj rejestratora, status domeny oraz widoczna nazwa organizacji lub kraj abonenta. Przy poważnych firmach domeny zwykle istnieją od lat, a rejestrator to znany podmiot, nie przypadkowy egzotyczny operator.

Jeżeli z WHOIS wynika, że domena została zarejestrowana np. dwa tygodnie temu na prywatnego, ukrytego abonenta w innym kraju, a mówimy o dużym przelewie – zatrzymaj płatność i skontaktuj się z kontrahentem innym kanałem (telefon, oficjalny numer z KRS, nie z podejrzanego maila).

Jak rozpoznać, że domena jest podobna do oryginalnej, ale fałszywa (podszywanie się)?

Najczęstsze sztuczki to: zamiana lub dodanie jednej litery (firmaa.pl zamiast firma.pl), dodatkowy myślnik lub człon (-pl.com, -online.com), inna końcówka (firma.com zamiast firma.pl) oraz znaki łudząco podobne (homografy, np. cyrylica w nazwie). W praktyce dużo „wpadek” to adresy w stylu faktury@dostawca-pl.com zamiast faktury@dostawca.pl.

Przy każdej informacji o zmianie rachunku bankowego przejrzyj adres nadawcy i domenę na fakturze litera po literze. Dobrze działa prosta zasada: skopiuj domenę do notatnika i porównaj z tą z poprzednich faktur; każda różnica to automatyczne wstrzymanie przelewu do czasu wyjaśnienia.

Czy świeża domena kontrahenta zawsze oznacza oszustwo?

Nie, nowa domena nie jest z automatu fałszywa – firmy zmieniają branding, wchodzą na nowe rynki, czasem budują osobne serwisy. Problem pojawia się wtedy, gdy świeża domena pojawia się nagle przy dużym przelewie lub zmianie numeru konta, a wcześniej kontrahent komunikował się z innego adresu.

W takiej sytuacji potraktuj świeżą domenę jako żółte światło: zrób pełną 10‑minutową analizę (WHOIS, DNS, historia, reputacja) i koniecznie potwierdź zmianę danych finansowych przez niezależny kanał – np. telefon na numer z umowy lub z oficjalnego KRS/CEIDG, a nie z maila z nowej domeny.

Jak połączyć dane z KRS/CEIDG z analizą domeny kontrahenta?

Najpierw weryfikujesz firmę „na papierze”: NIP, KRS/CEIDG, adres siedziby, nazwa spółki. Gdy masz te dane, odpalasz WHOIS i porównujesz: kraj abonenta, nazwę organizacji (jeśli widoczna), kraj rejestratora i wiek domeny. Firma z KRS w Polsce i domena zarejestrowana tydzień temu na anonimowego abonenta w innym kraju to powód, by zadać dodatkowe pytania.

Dobrym nawykiem jest trzymanie w jednym miejscu: oficjalnych danych z rejestrów, listy „prawidłowych” domen kontrahenta oraz adresów e‑mail, z których historycznie przychodziła korespondencja. Każde odstępstwo (inna domena, inny kraj, inny adres e‑mail do faktur) uruchamia dodatkową weryfikację przed przelewem.

Jakie darmowe narzędzia online wykorzystać do sprawdzenia domeny kontrahenta?

Przy codziennej pracy wystarczy kilka serwisów: do WHOIS (who.is, whoxy.com, dns.pl/whois dla .pl), do DNS (mxtoolbox.com, dnschecker.org), do historii strony (archive.org), do reputacji domeny/IP (virustotal.com, talosintelligence.com) oraz do sprawdzenia IP (ipinfo.io). Certyfikat SSL sprawdzisz bezpośrednio w przeglądarce, klikając w kłódkę.

Najwygodniej stworzyć sobie folder zakładek z tymi adresami. Przy każdym nowym lub „dziwnym” przelewie otwierasz stały zestaw kart, wklejasz domenę i przechodzisz po kolei: WHOIS → DNS → strona WWW → historia → reputacja → porównanie z danymi z KRS/CEIDG.

Czy brak danych abonenta w WHOIS to powód do zablokowania przelewu?

Po RODO część danych w WHOIS jest ukryta, szczególnie przy osobach fizycznych i niektórych rejestratorach, więc sam brak pełnych danych nie przesądza o oszustwie. Trzeba patrzeć na cały obraz: wiek domeny, kraj i wiarygodność rejestratora, serwery nazw, historię strony i reputację domeny/IP.

Jeśli jednak przy dużej płatności widzisz jednocześnie: świeżą domenę, ukrytego abonenta, egzotycznego rejestratora i brak historii strony w archive.org, potraktuj to jak czerwoną flagę. W takiej sytuacji nie wykonuj przelewu bez twardego potwierdzenia danych finansowych innym, bezpiecznym kanałem.

Najważniejsze wnioski

  • Najczęstszy schemat oszustwa przy „zmianie numeru konta” opiera się na podszyciu pod domenę firmy – różni się ona jednym znakiem, inną końcówką lub homografem, a ofiara rzadko zauważa to w pośpiechu.
  • Weryfikacja firmy po NIP/KRS/CEIDG to za mało – osobno trzeba sprawdzić, czy konkretna domena z maila lub faktury rzeczywiście należy do tego kontrahenta i jest z nim spójna.
  • Domena działa jak szyld: porównanie danych firmy (nazwa, kraj, adres) z informacjami z WHOIS, DNS i SSL pozwala wychwycić niespójności, np. polska spółka, a domena świeżo kupiona na anonimowego właściciela w innym kraju.
  • Krótka analiza domeny (wiek, rejestrator, serwery nazw, konfiguracja poczty, historia treści, obecność na blacklistach) pozwala w kilka minut ocenić ryzyko i odsiać najbardziej podejrzane przypadki przed przelewem.
  • Przy większych kwotach proces powinien być dwustopniowy: najpierw weryfikacja podmiotu w rejestrach, potem szybka, powtarzalna analiza domeny; dopiero pozytywny wynik obu kroków daje zielone światło na płatność.
  • Prosty przykład „dostawca.pl” vs „dostawca-pl.com” pokazuje, że jeden dodatkowy element w domenie może oznaczać setki tysięcy złotych straty, jeśli nikt nie sprawdzi historii i właściciela tej domeny.
  • Do skutecznej analizy domeny wystarczą darmowe narzędzia (WHOIS, DNS lookup, Wayback Machine, reputacja IP/domeny, analiza certyfikatu SSL) oraz podstawowe dane kontrahenta przygotowane przed startem sprawdzenia.

Źródła informacji

  • RFC 1034: Domain Names – Concepts and Facilities. Internet Engineering Task Force (1987) – Podstawy systemu DNS, struktura domen i serwerów nazw
  • RFC 1035: Domain Names – Implementation and Specification. Internet Engineering Task Force (1987) – Techniczne szczegóły DNS, rekordy typu A, MX, NS i inne
  • Polityka rejestracji nazw domeny .pl. NASK – Państwowy Instytut Badawczy – Zasady rejestracji i ujawniania danych abonentów domen .pl
  • Domain Name Industry Brief. Verisign – Statystyki rynku domen, trendy rejestracji i bezpieczeństwa
  • ENISA Threat Landscape for Phishing Attacks. European Union Agency for Cybersecurity (ENISA) – Analiza phishingu, podszywania się pod domeny i wektorów ataku
  • ICANN Security and Stability Advisory Committee Reports on IDN Homograph Attacks. ICANN – Zalecenia dotyczące ataków homograficznych w nazwach domen

Zobacz, co jeszcze dla Ciebie mamy: