/ Блог
Поиск по сайту Поиск
БезопасностьДомены

Как кибермошенники крадут домены и как защитить свой?

Злоумышленники ежедневно крадут домены и используют их для своих целей. Причём осенью 2020-го года, по подсчётам компании Group-IB, угоны участились, а в группе риска находятся около 30 000 веб-адресов. Инженер по безопасности REG.RU Георгий Шутяев рассказывает, как чаще всего угоняют домены и как обезопасить свой. 

Чаще всего украденные домены используют для фишинга, шантажа, выкупа и SCAM-проектов

Украденные домены, как правило, используют для фишинга, шантажа, выкупа и SCAM-проектов (когда сервис/сайт/люди берут деньги и не предоставляют услуги или товар взамен, то есть попросту скрываются с деньгами жертвы). Можно выделить несколько основных схем, по которым происходят кражи. 

Схема кражи доменов через электронную почту

В первую очередь злоумышленники узнают почту, к которой привязаны необходимые им домены. Например, воспользовавшись Whois-сервисом или просто банально взяв контактную информацию с сайта компании. Также существуют методы OSINT (поиск на основе открытых данных) для поиска необходимой информации о жертве.

Далее злоумышленник взламывает почту жертвы. Методики взлома разные: фишинг, поиск пароля в утечках данных компаний, брутфорс (подбор пароля), вирус на ПК жертвы, социальная инженерия, копия SIM-карты (например, если установлена двухфакторная аутентификация) и так далее. Получив доступ к почте, злоумышленник сбрасывает пароль от аккаунта у регистратора, заходит в аккаунт жертвы и меняет все логины /пароли, а затем и почты на свои. 

Пример взлома почты администратора
Большинство угонов доменов связаны со взломом почты администратора

Схема с подделкой документов 

Злоумышленник подделывает документы и запрашивает у текущего регистратора перенос доменов на другого регистратора (чтобы лишить возможности настоящего владельца вернуть свои домены себе). 

Дальше многое зависит от регистратора (например, специалисты REG.RU умеют отличать даже тщательно сделанные подделки от оригинала) и, как не удивительно, от самого собственника доменов. Ему нужно немедленно подать заявление в полицию, написать регистратору с просьбой приостановить перенос домена и поставить блок на операции с доменом на время расследования (приложив все документы удостоверяющие личность, копию талона о принятии заявления в МВД и прочие документы, которые может потребовать регистратор), а также попробовать восстановить почту. 

Пример поддельных документов для кражи
Мошенники часто используют поддельные документы для кражи домена 

Схема с «Чёрным SEO»‎

Не стоит также забывать, что злоумышленники идут на всякие ухищрения, чтобы заманить доверчивых пользователей на сайт. Есть множество методик «чёрного SEO», когда в поисковых системах продвигаются в топ сайты с сомнительным контентом. Бывает так, что злоумышленник регистрирует домен и наполняет сайт на нём   легальным контентом или покупает домен с готовым сайтом на вторичном рынке. 

После этого на сайт запускается контекстная реклама. Как только реклама проходит модерацию от поисковика, злоумышленник подменяет контент сайта на вредоносный . И получается, когда пользователь набирает, например, запрос «‎медкнижка тверь»‎, поисковая система выдаёт контекстную рекламу с вредоносным контентом внутри.  

Важно отметить, что долго такие схемы не живут, т.к. поисковики постоянно сканируют ссылки, которые указаны в рекламных объявлениях. За подмену контента могут блокировать аккаунт целиком. Поэтому часто мошенники регистрируют или покупают сразу много аккаунтов для таких целей.

Схема с использованием легитимных доменов

К сожалению, мошенники находят всё новые лазейки и сегодня для своих целей им не обязательно даже угонять домен. Осенью 2020 года специалисты Group-IB выявили схему, когда злоумышленники использовали не созданные «‎с нуля»‎ и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям. Жертвами становились владельцы тех доменных имен, которые хотя и оплачены, и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту.

Такое, по мнению Group-IB, происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «‎перехвата»‎ занимает от 30 минут до нескольких часов. После этих манипуляций злоумышленники могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для для мошенничества.

Как защитить домен от посягательств кибермошенников? 

Чтобы защитится от мошеннических схем, стоит придерживаться хотя бы минимальных требований безопасности: 

— изучите правила доменной зоны;

— вводите при регистрации корректные данные в личном кабинете и поддерживайте их актуальность;

— уберите с почты «контрольный вопрос» (если забыли пароль); 

— установите двухфакторную аутентификацию и сложный пароль как на почте, так и в личном кабинете регистратора; 

— подключите защиту контактных данных у регистратора и скрытие данных в Whois, если ваши данные открыты (например, в .RU и .РФ данные физических лиц скрыты по умолчанию, в других зонах не всегда);

— не используйте одинаковые пароли на разных сервисах (если у одного из сервисов будет утечка, то другие ваши сервисы и данные в них окажутся под угрозой, например, почта или личный кабинет регистратора); 

— если у вас юрлицо, тогда регистрируйте домен на юрлицо;

— не переходите по неизвестным ссылкам и никому не передавайте доступ в свою почту или личный кабинет регистратора, даже тем, кому доверяете; 

— берегите документы и персональные данные;

— если срок оплаты хостинг-аккаунта подходит к концу и планов продлевать его нет, то следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени;

— не стоит заранее прописывать в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.

Два последних совета как раз относятся к случаям, когда мошенники «захватывают»‎ домены законопослушных пользователей.

Если злоумышленнику всё-таки удалось захватить домены и перенести их к другому регистратору, то у него есть много способов монетизировать полученные домены, в том числе шантаж или требования выкупа доменов. Не стоит сдаваться и платить деньги. Обратитесь в органы, а также к старому и новому регистраторам, предоставив все документы и подробное объяснение ситуации. Тогда шансы, что всё решится в положительную для вас сторону велики. 

⌘⌘⌘

Пишите в комментариях, хотите ли вы больше узнать о веб-безопасности и какие темы были бы наиболее интересны. Мы всегда готовы поделиться полезным опытом.

Защищайте домены и не забывайте читать наши статьи в разделе «Безопасность», в котором можно найти много полезных советов!

Защитить доменное имя

Георгий Шутяев

22 декабря 2020

586
Победить конкурентов и увеличить выручку: кейс горизонтального масштабирования клиники

Победить конкурентов и увеличить выручку: кейс горизонтального масштабирования клиники

26 июля, 2024
Рассказываем путь развития стоматологической клиники к повышению выручки на 40% с сохранением рентабельности.
Read More
Руководство по CI/CD в GitLab для новичка

Руководство по CI/CD в GitLab для новичка

26 июля, 2024
В статье разбираем, как устроена практика CI/CD, какие у нее нюансы и преимущества использования. А также расписываем пошаговый процесс использования...
Read More
Что такое GitLab, кому нужен, как пользоваться

Что такое GitLab, кому нужен, как пользоваться

26 июля, 2024
GitLab — платформа для совместной разработки. Она позволяет командам организовывать свои процессы от планирования до мониторинга и может работать в...
Read More
Как продавать представителям разных поколений

Как продавать представителям разных поколений

25 июля, 2024
Рассказываем, как работает теория поколений и чем она оказывается полезной для маркетинга в малом и среднем бизнесе.
Read More
Как привлечь новую аудиторию и победить конкурентов. 3 кейса-стратегии

Как привлечь новую аудиторию и победить конкурентов. 3 кейса-стратегии

24 июля, 2024
На примере трёх кейсов разбираем трансформацию продуктов на основе методологии jobs-to-be-done.
Read More
Что стоит автоматизировать в бизнесе с самого начала

Что стоит автоматизировать в бизнесе с самого начала

23 июля, 2024
Экономить силы, время и деньги – это база, а не привилегия. Автоматизируйте процессы и уделяйте внимание стратегическим задачам.
Read More
Как составить бизнес-план: пошаговая инструкция

Как составить бизнес-план: пошаговая инструкция

18 июля, 2024
Бизнес-план — стратегия развития проекта, без которой не стоит начинать ни один бизнес. Рассказываем, как правильно его составить.
Read More
Сильная презентация для инвесторов: от содержания до выступления

Сильная презентация для инвесторов: от содержания до выступления

17 июля, 2024
Всё про качественную презентацию для инвесторов. Что разместить на слайдах, как держаться на встрече и увеличить свои шансы на сделку.
Read More
Дёшево и эффективно: как малому бизнесу продвигать свой сайт

Дёшево и эффективно: как малому бизнесу продвигать свой сайт

16 июля, 2024
Как выделиться среди конкурентов и получить внимание потенциальных клиентов. Бюджетные методы продвижения сайта – в этом обзоре.  
Read More
Как перевести бизнес в онлайн: 7 шагов

Как перевести бизнес в онлайн: 7 шагов

12 июля, 2024
Пошаговая инструкция по переводу существующего бизнеса в онлайн: от создания сайта до начала продаж и запуска рекламы.
Read More