e Безопасность в Сети: Как защитить свое доменное имя

Как кибермошенники крадут домены и как защитить свой?

Злоумышленники ежедневно крадут домены и используют их для своих целей. Причём осенью 2020-го года, по подсчётам компании Group-IB, угоны участились, а в группе риска находятся около 30 000 веб-адресов. Инженер по безопасности REG.RU Георгий Шутяев рассказывает, как чаще всего угоняют домены и как обезопасить свой. 

Чаще всего украденные домены используют для фишинга, шантажа, выкупа и SCAM-проектов

Украденные домены, как правило, используют для фишинга, шантажа, выкупа и SCAM-проектов (когда сервис/сайт/люди берут деньги и не предоставляют услуги или товар взамен, то есть попросту скрываются с деньгами жертвы). Можно выделить несколько основных схем, по которым происходят кражи. 

Схема кражи доменов через электронную почту

В первую очередь злоумышленники узнают почту, к которой привязаны необходимые им домены. Например, воспользовавшись Whois-сервисом или просто банально взяв контактную информацию с сайта компании. Также существуют методы OSINT (поиск на основе открытых данных) для поиска необходимой информации о жертве.

Далее злоумышленник взламывает почту жертвы. Методики взлома разные: фишинг, поиск пароля в утечках данных компаний, брутфорс (подбор пароля), вирус на ПК жертвы, социальная инженерия, копия SIM-карты (например, если установлена двухфакторная аутентификация) и так далее. Получив доступ к почте, злоумышленник сбрасывает пароль от аккаунта у регистратора, заходит в аккаунт жертвы и меняет все логины /пароли, а затем и почты на свои. 

Большинство угонов доменов связаны со взломом почты администратора

Схема с подделкой документов 

Злоумышленник подделывает документы и запрашивает у текущего регистратора перенос доменов на другого регистратора (чтобы лишить возможности настоящего владельца вернуть свои домены себе). 

Дальше многое зависит от регистратора (например, специалисты REG.RU умеют отличать даже тщательно сделанные подделки от оригинала) и, как не удивительно, от самого собственника доменов. Ему нужно немедленно подать заявление в полицию, написать регистратору с просьбой приостановить перенос домена и поставить блок на операции с доменом на время расследования (приложив все документы удостоверяющие личность, копию талона о принятии заявления в МВД и прочие документы, которые может потребовать регистратор), а также попробовать восстановить почту. 

Мошенники часто используют поддельные документы для кражи домена 

Схема с «Чёрным SEO»‎

Не стоит также забывать, что злоумышленники идут на всякие ухищрения, чтобы заманить доверчивых пользователей на сайт. Есть множество методик «чёрного SEO», когда в поисковых системах продвигаются в топ сайты с сомнительным контентом. Бывает так, что злоумышленник регистрирует домен и наполняет сайт на нём   легальным контентом или покупает домен с готовым сайтом на вторичном рынке. 

После этого на сайт запускается контекстная реклама. Как только реклама проходит модерацию от поисковика, злоумышленник подменяет контент сайта на вредоносный . И получается, когда пользователь набирает, например, запрос «‎медкнижка тверь»‎, поисковая система выдаёт контекстную рекламу с вредоносным контентом внутри.  

Важно отметить, что долго такие схемы не живут, т.к. поисковики постоянно сканируют ссылки, которые указаны в рекламных объявлениях. За подмену контента могут блокировать аккаунт целиком. Поэтому часто мошенники регистрируют или покупают сразу много аккаунтов для таких целей.

Схема с использованием легитимных доменов

К сожалению, мошенники находят всё новые лазейки и сегодня для своих целей им не обязательно даже угонять домен. Осенью 2020 года специалисты Group-IB выявили схему, когда злоумышленники использовали не созданные «‎с нуля»‎ и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям. Жертвами становились владельцы тех доменных имен, которые хотя и оплачены, и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту.

Такое, по мнению Group-IB, происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «‎перехвата»‎ занимает от 30 минут до нескольких часов. После этих манипуляций злоумышленники могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для для мошенничества.

Как защитить домен от посягательств кибермошенников? 

Чтобы защитится от мошеннических схем, стоит придерживаться хотя бы минимальных требований безопасности: 

— изучите правила доменной зоны;

— вводите при регистрации корректные данные в личном кабинете и поддерживайте их актуальность;

— уберите с почты «контрольный вопрос» (если забыли пароль); 

— установите двухфакторную аутентификацию и сложный пароль как на почте, так и в личном кабинете регистратора; 

— подключите защиту контактных данных у регистратора и скрытие данных в Whois, если ваши данные открыты (например, в .RU и .РФ данные физических лиц скрыты по умолчанию, в других зонах не всегда);

— не используйте одинаковые пароли на разных сервисах (если у одного из сервисов будет утечка, то другие ваши сервисы и данные в них окажутся под угрозой, например, почта или личный кабинет регистратора); 

— если у вас юрлицо, тогда регистрируйте домен на юрлицо;

— не переходите по неизвестным ссылкам и никому не передавайте доступ в свою почту или личный кабинет регистратора, даже тем, кому доверяете; 

— берегите документы и персональные данные;

— если срок оплаты хостинг-аккаунта подходит к концу и планов продлевать его нет, то следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени;

— не стоит заранее прописывать в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.

Два последних совета как раз относятся к случаям, когда мошенники «захватывают»‎ домены законопослушных пользователей.

Если злоумышленнику всё-таки удалось захватить домены и перенести их к другому регистратору, то у него есть много способов монетизировать полученные домены, в том числе шантаж или требования выкупа доменов. Не стоит сдаваться и платить деньги. Обратитесь в органы, а также к старому и новому регистраторам, предоставив все документы и подробное объяснение ситуации. Тогда шансы, что всё решится в положительную для вас сторону велики. 

⌘⌘⌘

Пишите в комментариях, хотите ли вы больше узнать о веб-безопасности и какие темы были бы наиболее интересны. Мы всегда готовы поделиться полезным опытом.

Защищайте домены и не забывайте читать наши статьи в разделе «Безопасность», в котором можно найти много полезных советов!

Похожие публикации

УПД в бухгалтерии: когда один документ может заменить несколько

Многие предприниматели жалуются на сложный и слишком изобильный документооборот: много документов приходится оформлять. Но при…

14 минут назад

Что такое роялти, как их рассчитать и кому они выгодны

Чтобы легально пользоваться результатами чужого труда в своем бизнесе, нужно за это заплатить. И неважно,…

24 часа назад

Франшиза: что это, как работает и стоит ли начинать такой бизнес

Франшизы предоставляют предпринимателям возможность использовать популярные бренды, эффективные бизнес-модели и поддержку со стороны материнской компании.…

3 дня назад

Какие компании называют вендорами и как они работают

Некоторые компании сосредотачивают в своих руках и производственные мощности, и права на то, что на…

6 дней назад

Обособленное подразделение: как открывать и ставить на учет части компании

У любой компании есть адрес, по которому она «прописана», то есть зарегистрирована в ЕГРЮЛ. Но…

7 дней назад

С какого возраста можно открыть ИП и как это правильно сделать

Подросток может заниматься бизнесом, но с учетом важных условий, прописанных в законе. Разбираемся, как несовершеннолетнему…

1 неделя назад