Официальный сайт Робокассы: проверка подлинности и защита от фишинга

Официальный сайт Робокассы: проверка подлинности и защита от фишинга

Материал подготовлен для предпринимателей, бухгалтеров и разработчиков, которым важно безопасно работать с платежами. Ниже — понятный чек‑лист, как отличить Робокасса официальный сайт от подделок, выполнить проверку домена Robokassa, убедиться в валидности сертификата TLS и распознать фишинг Robokassa.

Что считается официальным сайтом Robokassa

Официальные ресурсы Robokassa — это домены второго уровня с названием бренда (robokassa) и доверенными зональными суффиксами, а также их поддомены. На таких сайтах размещены личный кабинет мерчанта, платежные формы, документация и служба поддержки.

• Узнаваемый бренд: в адресе домена строго «robokassa», без лишних символов и замен букв.
• Поддомены: допустимы варианты вида subdomain.robokassa.TLD (например, платежные и служебные поддомены).
• Прозрачная юридическая связка: домены и публичные страницы связаны с юрлицом «ООО Робокасса». Подробнее о реквизитах и наименовании — на странице ООО «Робокасса».

Важно: всегда сверяйте адреса с договором, официальными инструкциями и коммуникациями в личном кабинете. Фишинговые страницы часто используют похожие написания и не принадлежат бренду.

Проверка домена Robokassa: пошаговая инструкция

Проверка домена Robokassa — первый и самый быстрый способ избежать подмены сайта.

![Адресная строка браузера с доменом *.robokassa и иконкой замка]

1. Внимательно прочитайте доменное имя

• Должно быть без опечаток: robokassa
• Избегайте подделок: robokasa, robo-kassa, rob0kassa, robokassa-secure, robokassa-payments-ru и т. п.

1. Проверьте доменную зону и поддомен

• Официальный домен — это robokassa в доверенных зонах верхнего уровня. Используются только поддомены вида *.robokassa.TLD.
• Подозрительны любые варианты до/после названия: robokassa.tld.other, other-robokassa.tld, длинные префиксы с «secure», «verify», «billing» вне основного домена.

1. Обратите внимание на «https://» и отсутствие предупреждений браузера

• На страницах Robokassa всегда включён HTTPS. Браузер не должен ругаться на сертификат или показывать «Небезопасно».

1. Посмотрите на адрес после редиректов

• Фишинговые ссылки часто перенаправляют через сокращатели или «чистые» страницы. Итоговый адрес должен принадлежать именно официальному домену.

1. Сравните ссылку с источником

• Переходите из закладок или из проверенных источников. Не вводите пароль, если попали на сайт из письма или мессенджера по непонятной ссылке.

Примеры опасных подстановок в адресе (могут быть использованы во фишинге):

• Замена букв: roЬokassa (кириллическая «Ь» вместо «b»), robokаssa (кириллическая «а»), rob0kassa («0» вместо «o»)
• Лишние символы: robo-kassa, robokassa-pay, robokassa-login-secure
• Другой домен: robokassa.example.com (принадлежит example.com, а не Robokassa)

Сертификат TLS Robokassa: как проверить

Сертификат TLS Robokassa защищает канал связи и подтверждает, что вы общаетесь именно с владельцем домена. Проверка проста:

1. Убедитесь, что есть «замок» и HTTPS

• В адресной строке должен быть значок замка без предупреждений.

1. Откройте информацию о сертификате

• Chrome/Edge: нажмите на замок → «Подключение защищено» → «Сертификат действителен».
• Firefox: замок → «Подключение защищено» → «Показать сертификат».
• Safari: нажмите на замок → «Показать сертификат».

1. Сверьте домен в сертификате

• Поле Subject Alternative Name (SAN) должно содержать точное имя посещаемого домена.
• Срок действия — текущий, без просрочки.
• Сертификат выдан известным центром сертификации (CA) и отображается как «доверенный».

1. Дополнительные признаки доверия

• Большие провайдеры платежей используют корректную конфигурацию TLS (современные алгоритмы, запрет слабых протоколов), HSTS и записи в публичных журналах CT. Браузер при этом не показывает ошибок и предупреждений.

Если сертификат не проходит проверку — немедленно закройте страницу и свяжитесь со службой поддержки через проверенные контакты.

Признаки фишинга и типичные ловушки

Фишинг Robokassa может маскироваться под:

• Письма «срочная блокировка/верификация» со ссылкой на «личный кабинет» на поддельном домене.
• «Счёт к оплате» от неизвестного отправителя с кнопкой «Оплатить» на стороннем сайте.
• Клоны платежных форм с требованием ввести данные карты вне домена бренда.
• Лендинги, имитирующие интерфейс Robokassa, но ведущие на сторонние платежные шлюзы.

![Пример фишингового домена с подменой букв и предупреждением браузера]

Как распознать ловушку:

• Несовпадение домена, неточности в логотипах, устаревший дизайн.
• Ошибки в тексте, странные обращения («Уважаемый пользователь» без указания компании/ФИО).
• Давление на срочность: «аккаунт будет удалён через 12 часов».
• Файлы‑приложения вместо ссылок на официальный сайт.

Безопасный вход в личный кабинет

Для входа в личный кабинет используйте проверенные пути:

• Вход только по сохранённой закладке или с нашей справочной страницы Вход в Robokassa.
• Не переходите по ссылкам из рекламы и непроверенных писем.
• Включите двухфакторную аутентификацию, храните резервные коды отдельно.
• Проверяйте домен перед вводом логина и пароля. Сама страница «Личный кабинет» должна открываться по безопасному адресу Robokassa. Подробнее о функционале — на странице Личный кабинет.

Безопасная оплата на сайтах магазинов

При оплате на стороне магазина и в виджете Robokassa соблюдайте:

• На этапе ввода данных карты убедитесь, что вы на защищённой странице Robokassa или используете официально встроенный виджет, загружающийся с домена бренда.
• Проверьте адрес после редиректа — он должен принадлежать Robokassa.
• Браузер не должен предупреждать о небезопасном соединении.
• Для карт: ожидайте 3‑D Secure (СМС‑код/подтверждение в приложении банка).

О логике прохождения платежей и статусов читайте в разделе Платежи, о фискализации и передаче чеков — в разделе Чеки.

Проверка писем и SMS от имени Robokassa

• Отправитель: домен адреса должен принадлежать Robokassa; будьте внимательны к замене символов.
• Подозрительные вложения (архивы, .exe) — не открывайте.
• Сокращённые ссылки: не переходите, сначала проверьте домен конечного адреса.
• Не сообщайте OTP‑коды и пароли «сотрудникам поддержки». Служба поддержки их не запрашивает.

Нужны проверенные контакты? Смотрите раздел Телефон и контакты поддержки и FAQ.

Если вы ввели данные на подозрительном сайте

Действуйте быстро:

• Смените пароль в личном кабинете и везде, где он совпадает.
• Отзовите или замените API‑ключи и пароли интеграций.
• Проверьте активные сессии: завершите все неизвестные.
• Свяжитесь со службой поддержки по проверенным каналам и опишите инцидент.
• Если вводили данные карты — позвоните в банк и при необходимости заблокируйте карту/операции.
• Проверьте выпуски чеков и статусы операций в разделе Чеки и Платежи — на предмет подозрительных транзакций.

Для бизнеса и разработчиков: полезные ссылки

• Подключение Robokassa: тарифы, условия и старт — на странице Подключить Robokassa.
• Онлайн‑эквайринг: особенности и сценарии — Интернет‑эквайринг.
• Интеграция с 1С — готовые модули и настройка в разделе 1С‑интеграция.
• API: формирование платежей, уведомления, подписи — API документация.
• Юридические данные провайдера — ООО «Робокасса».

Краткий чек‑лист проверки подлинности

Элемент проверки	Как должно быть на официальном сайте Robokassa	Если что-то не так
Домен	Точное написание «robokassa», поддомены вида *.robokassa.TLD	Не вводите данные, закройте страницу, сообщите в поддержку
Протокол	Только HTTPS, без предупреждений	Не продолжайте, проверьте адрес и сертификат
Сертификат TLS	Действителен, выдан доверенным CA, SAN совпадает с доменом	Опасность MITM/фишинга — уйдите с сайта
Редиректы	Итоговый адрес — на домене Robokassa	Редирект на чужой домен — признак фишинга
Формы ввода	Данные карты/входа — только на официальных страницах	Не вводите ничего, очистите браузер и кэш
Письма/SMS	Адрес отправителя с домена Robokassa, без давящей срочности	Игнорируйте, проверяйте через ЛК или контакты
Оплата	3‑D Secure, квитанции/чеки формируются штатно	Проверяйте статусы, при сомнениях — в банк и поддержку

Вывод и следующий шаг

Чтобы не стать жертвой фишинга Robokassa, придерживайтесь трёх правил: проверяйте домен и сертификат TLS, входите в личный кабинет только из закладок и никогда не вводите конфиденциальные данные на сторонних сайтах. Сохраните эту страницу в закладки как памятку и поделитесь с коллегами.

Готовы подключить оплату на сайт и хотите сделать это безопасно? Изучите раздел Подключить Robokassa и пройдите по шагам. Вопросы — в FAQ или через Телефон поддержки.