Итак, предположим, что рядовой пользователь интернета со своего домашнего компьютера планирует зайти в интерфейс электронной платёжной системы. Пользователь набирает в адресной строке браузера «Платёжка.ru» (для удобства мы используем кириллические адреса) и нажимает «Enter». Что происходит дальше? А дальше в подавляющем большинстве случаев компьютер пользователя спрашивает один из известных ему серверов DNS об IP-адресе узла, соответствующего домену «Платёжка.ru», и в ответ сервер DNS присылает некий IP-адрес. Далее запросы браузера передаются узлу с данным IP-адресом. При этом сервер, обслуживающий запросы компьютера пользователя к DNS, скорее всего, принадлежит интернет-провайдеру, предоставляющему этому пользователю доступ к глобальной Сети.

Ни браузер, ни пользователь не имеют в рамках DNS возможности проверить, что полученные в ответ на запрос данные об IP-адресе некоторого узла Сети действительно указывают на настоящий сервер платёжной системы, который должен быть размещён под доменом «Платёжка.ru». Вполне возможно, что ответ DNS подделан на том или ином этапе обработки запроса. Самый банальный вариант: ответ подделан на DNS-сервере интернет-провайдера. Нет, вовсе не обязательно, что на подлог осознанно пошёл провайдер, просто его компьютерные системы могли быть взломаны хакерами.

Но шут с ним, с провайдером. Прежде нужно понять, чем грозит использование фиктивного ответа DNS в качестве руководства к действию. А грозит оно вот чем: полученный IP-адрес может указывать на сервер злоумышленников, где расположен поддельный сайт платёжной системы. С виду этот сайт такой же, как и настоящий - это несложно устроить. А то, что и адрес в браузере соответствует привычному, только ещё больше убедит пользователя, что он зашёл именно на правильный сайт и всё в порядке. А тем временем сайт-наживка выманит у пользователя все его пароли к электронным кошелькам. Нужно ли сомневаться, что эти пароли тут же будут использованы мошенниками?