«Угнать» домен за 30 минут

Как не потерять свой сайт и репутацию из-за киберсквоттеров

Аналитики компании по кибербезопасности Group-IB в ходе исследования фишинговых сайтов выяснили, что злоумышленники вместо создания новых ресурсов используют легальные чужие домены в зонах: .ru, .su и .рф. Изучив около 3 млн онлайн-площадок российских и международных хостинг-провайдеров, эксперты выявили более 30 тыс. адресов сайтов, входящих в группу риска. По оценкам специалистов, выкуплена и «запаркована» с целью перепродажи почти половина из всех зарегистрированных доменных имен.


КАК ПРОИСХОДИТ ЗАХВАТ

«Угоняют» не привязанные к хостинг-аккаунту домены, а также с закончившимся и непродленным сроком действия. Таких мошенников называют киберсквоттерами. Они регистрируют домены с именами, схожими с названиями компаний, или уводят имеющиеся у зазевавшихся владельцев. Яркий пример кражи произошел с «медкнижка-тверь.рф». Узнав, что истек срок действия хостинг-аккаунта, мошенники превратили легальный домен в фишинговый ресурс от имени крупного российского банка. Посетителям сайта обещали выплатить по 2020 рублей, если они ответят на несложные вопросы. После опроса пользователь вводил данные своей банковской карты и CVC/CVV для перевода ему денег.

Эксперты по кибербезопасности выявили сотни подобных «угнанных» ресурсов.

Вся процедура перехвата занимает от 30 минут до нескольких часов

Затем мошенники размещают на таком домене свой контент для кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта троянами, программами-шпионами, вирусами-шифровальщиками.

Глава подразделения CERT-GIB компании Group-IB Александр Калинин сообщил RSpectr, что кражи происходят в двух случаях: домен забыт или выкуплен совсем недавно. «Если говорить техническим языком, то условий для угона всего два: у вашего доменного имени есть NS-записи* и нет А-записи**», – отметил он.

Александр Калинин, Group-IB:

– Во избежание кражи нужно оперативно проверить пул всех своих доменных имен, поскольку у крупных компаний число ресурсов может исчисляться десятками и сотнями. Если есть неактивные, или забытые (внутренние порталы, библиотеки, площадки для тестирований), или недавно купленные без привязки к хостинг-аккаунту домены, то надо убрать NS-записи в кабинете регистратора или привязать домен к активному хостингу. Также следует удалить NS-записи у доменов, у которых срок оплаты хостинг-аккаунта подходит к концу, а продлевать не планируется.


СЕРЫЙ БИЗНЕС НА РЕСУРСАХ

Нечистоплотные манипуляции с доменами происходят на российском рынке с конца девяностых годов. На заре появления сайтов были популярны не столько кражи доменов, сколько регистрация запоминающихся имен, связанных с компаниями.

Позже владельцы перепродавали их за сотни тысяч, а иногда за миллионы рублей

Например, дальновидные люди регистрировали свободные домены с популярными названиями типа mebel, eda, koleso. Это могли быть географические (piter, ural) или короткие имена (yes, 24). Подобные действия нельзя назвать мошенничеством, скорее, это инвестиции. Правда, такой вид бизнеса также называется киберсквоттингом.

При регистрации изменяется или убирается одна буква, например, ɢoogle.com вместо google.com. Также используется локализация глобальных доменов в национальных сегментах Сети – google.by. 

Так, со 2 по 8 ноября этого года злоумышленники зарегистрировали около сотни мошеннических сайтов, имитирующих вид и содержание интернет-ресурса РБК. Домены имели формат rbk-***.ru. На них публиковалась фейковая новость о том, что государство обязало газовые компании создать «единый проект по заработку». Гиперссылка в этом материале перенаправляла пользователя на мошеннический брокерский ресурс «Газ Руси», на котором предлагали заработать на торговле нефтью и газом.

Известны случаи, когда медийные личности были вынуждены выкупать сайты со своими именами, где публиковалась неправдоподобная информация о них.

Как сообщил RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд,

до половины всех доменов в Глобальной сети «припаркованы» или используются не по назначению, что может указывать на их захват

Впрочем, многие ресурсы были зарегистрированы задолго до появления компаний со схожим названием, поэтому требования отдать доменное имя только на основании сходства противоречат принципам права на частную собственность. Парадокс в том, что домен не является интеллектуальной собственностью. 

Microsoft не стала судиться, а просто выкупила ресурс corp.com у физического лица, которое владело им 26 лет. Дело в том, что corp – внутренний домен в ActiveDirectory ранних версий Windows. Из-за конфликта с интернет-адресом corp.com на него утекала часть данных компаний.

Наглядную статистику собирает Всемирная организация интеллектуальной собственности (ВОИС). С 1999 года через ВОИС прошло более 48 тыс. исков, связанных с конфискацией доменных имен у злоумышленников. Их число постоянно растет. Например, в октябре 2019 года организация обработала 335 исков, а в октябре 2020 года – уже 411 дело.

Алексей Дрозд, «СёрчИнформ»:

– Часто в ход идет шантаж: не заплатите – выложим на сайте компромат от вашего имени. Если жертвы на выкуп не соглашаются, захваченные домены могут использовать для фишинга либо для монетизации за счет вирусной рекламы. При этом на первом этапе действия киберсквоттеров легальны – купить доменное имя может любой, а злой умысел сначала нужно доказать.

«Мошенники в 2020 году активно регистрировали сайты-клоны служб доставки. Масштабы подобных киберпреступлений выросли в десятки раз по сравнению с 2019 годом», – рассказал RSpectr руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.


КАК ЗАЩИТИТЬСЯ ОТ «УГОНА»

Наиболее распространенные варианты «угона» – скупка доменов, чьи владельцы вовремя не продлили регистрацию, поэтому главное – не совершать эту детскую ошибку. Чтобы уберечься от сайтов-клонов, можно заранее зарегистрировать на себя сразу несколько доменных имен, похожих на основное – с опечатками, приписками, в разных доменных зонах.

«Например, так поступил Российский фонд прямых инвестиций, один из разработчиков вакцины "Спутник" и владелец официального сайта препарата: только в зоне .ru фонд одновременно зарегистрировал пять сайтов с похожими названиями», – говорит А.Дрозд.

А.Арсентьев советует не регистрировать домен на электронный адрес в рамках этого домена, иначе в случае кражи домена будет намного сложнее его вернуть. К примеру, МТК не стоит регистрировать домен mtк.ru с почтой типа xxx@mtк.ru. Также стоит попросить регистратора включить блокировку домена.

«Угоны» нередко происходят через почтовый ящик владельца. Используя методы социальной инженерии или другие виды атак, злоумышленник получает доступ сначала к ящику пользователя-регистратора (его email часто указывается в whois-информации о домене и доступен всем), рассказывает RSpectr руководитель департамента аудита информационной безопасности Infosecurity a Softline Сompany Сергей Ненахов.

Преступник извлекает пароль из почты от личного кабинета регистратора или получает его через форму восстановления пароля. После чего происходит переоформления домена

Сергей Ненахов, Infosecurity a Softline Сompany: 

– Со стороны регистратора – необходимо усложнить проверку личности, особенно при внесении каких-либо изменений в аккаунт. Полезным шагом будет внедрение двухфакторной авторизации. Даже если у владельца будет украден доступ от почтового ящика и пароль от личного кабинета, злоумышленник не сможет ввести одноразовый код, который приходит на телефон истинного владельца. В некоторых компаниях процедуру переоформления можно реализовать только при личном посещении офиса.

Основатель юридической компании в сфере цифровых технологий «Катков и партнеры» Павел Катков в разговоре с RSpectr отметил, что бороться с этим явлением можно регистрацией словесного товарного знака. При прочих равных условиях правообладатель словесного товарного знака, с которым будет тождественен до степени смешения соответствующий домен, имеет широкие возможности по его изъятию: через арбитражный суд, подачу иска в рамках антипиратского закона, путем международной процедуры «Единая политика разрешения доменных споров» (UDRP). Но выиграть дело будет непросто, если владелец докажет, что использовал схожий домен для собственного сайта и не нарушил ни один закон.

Борьба с «похищением» доменов идет сразу в двух направлениях, отмечает П. Катков. На технологическом поле: мониторинг интернет-пространства с поиском доменов, их выкуп, защита от хакерского взлома. В правовом поле: формирование стратегии защиты интеллектуальной собственности конкретного бизнеса в цифровой среде. Сегодня эти две составляющие переплетаются все теснее, а завтра IT и юридические нормы сольются в одну новую компетенцию.

*NS-запись – главный тип записей, определяющий адреса DNS-серверов, обслуживающих домен.
**A-запись – привязывает доменное имя на один IP-адрес, используя протокол IPv4. Возможно использование более одного IP-адреса.

Изображение: RSpectr, Pixabay.com

ЕЩЕ ПО ТЕМЕ:

Вакцина от вирусов и кибератак
Повышение компетенций медицинского персонала в сфере информбезопасности позволит избежать серьезных инцидентов