Поиск по сайту Поиск

Как кибермошенники крадут домены и как защитить свой?

Злоумышленники ежедневно крадут домены и используют их для своих целей. Причём осенью 2020-го года, по подсчётам компании Group-IB, угоны участились, а в группе риска находятся около 30 000 веб-адресов. Инженер по безопасности REG.RU Георгий Шутяев рассказывает, как чаще всего угоняют домены и как обезопасить свой. 

Чаще всего украденные домены используют для фишинга, шантажа, выкупа и SCAM-проектов

Украденные домены, как правило, используют для фишинга, шантажа, выкупа и SCAM-проектов (когда сервис/сайт/люди берут деньги и не предоставляют услуги или товар взамен, то есть попросту скрываются с деньгами жертвы). Можно выделить несколько основных схем, по которым происходят кражи. 

Схема кражи доменов через электронную почту

В первую очередь злоумышленники узнают почту, к которой привязаны необходимые им домены. Например, воспользовавшись Whois-сервисом или просто банально взяв контактную информацию с сайта компании. Также существуют методы OSINT (поиск на основе открытых данных) для поиска необходимой информации о жертве.

Далее злоумышленник взламывает почту жертвы. Методики взлома разные: фишинг, поиск пароля в утечках данных компаний, брутфорс (подбор пароля), вирус на ПК жертвы, социальная инженерия, копия SIM-карты (например, если установлена двухфакторная аутентификация) и так далее. Получив доступ к почте, злоумышленник сбрасывает пароль от аккаунта у регистратора, заходит в аккаунт жертвы и меняет все логины /пароли, а затем и почты на свои. 

Пример взлома почты администратора
Большинство угонов доменов связаны со взломом почты администратора

Схема с подделкой документов 

Злоумышленник подделывает документы и запрашивает у текущего регистратора перенос доменов на другого регистратора (чтобы лишить возможности настоящего владельца вернуть свои домены себе). 

Дальше многое зависит от регистратора (например, специалисты REG.RU умеют отличать даже тщательно сделанные подделки от оригинала) и, как не удивительно, от самого собственника доменов. Ему нужно немедленно подать заявление в полицию, написать регистратору с просьбой приостановить перенос домена и поставить блок на операции с доменом на время расследования (приложив все документы удостоверяющие личность, копию талона о принятии заявления в МВД и прочие документы, которые может потребовать регистратор), а также попробовать восстановить почту. 

Пример поддельных документов для кражи
Мошенники часто используют поддельные документы для кражи домена 

Схема с «Чёрным SEO»‎

Не стоит также забывать, что злоумышленники идут на всякие ухищрения, чтобы заманить доверчивых пользователей на сайт. Есть множество методик «чёрного SEO», когда в поисковых системах продвигаются в топ сайты с сомнительным контентом. Бывает так, что злоумышленник регистрирует домен и наполняет сайт на нём   легальным контентом или покупает домен с готовым сайтом на вторичном рынке. 

После этого на сайт запускается контекстная реклама. Как только реклама проходит модерацию от поисковика, злоумышленник подменяет контент сайта на вредоносный . И получается, когда пользователь набирает, например, запрос «‎медкнижка тверь»‎, поисковая система выдаёт контекстную рекламу с вредоносным контентом внутри.  

Важно отметить, что долго такие схемы не живут, т.к. поисковики постоянно сканируют ссылки, которые указаны в рекламных объявлениях. За подмену контента могут блокировать аккаунт целиком. Поэтому часто мошенники регистрируют или покупают сразу много аккаунтов для таких целей.

Схема с использованием легитимных доменов

К сожалению, мошенники находят всё новые лазейки и сегодня для своих целей им не обязательно даже угонять домен. Осенью 2020 года специалисты Group-IB выявили схему, когда злоумышленники использовали не созданные «‎с нуля»‎ и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям. Жертвами становились владельцы тех доменных имен, которые хотя и оплачены, и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту.

Такое, по мнению Group-IB, происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «‎перехвата»‎ занимает от 30 минут до нескольких часов. После этих манипуляций злоумышленники могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для для мошенничества.

Как защитить домен от посягательств кибермошенников? 

Чтобы защитится от мошеннических схем, стоит придерживаться хотя бы минимальных требований безопасности: 

— изучите правила доменной зоны;

— вводите при регистрации корректные данные в личном кабинете и поддерживайте их актуальность;

— уберите с почты «контрольный вопрос» (если забыли пароль); 

— установите двухфакторную аутентификацию и сложный пароль как на почте, так и в личном кабинете регистратора; 

— подключите защиту контактных данных у регистратора и скрытие данных в Whois, если ваши данные открыты (например, в .RU и .РФ данные физических лиц скрыты по умолчанию, в других зонах не всегда);

— не используйте одинаковые пароли на разных сервисах (если у одного из сервисов будет утечка, то другие ваши сервисы и данные в них окажутся под угрозой, например, почта или личный кабинет регистратора); 

— если у вас юрлицо, тогда регистрируйте домен на юрлицо;

— не переходите по неизвестным ссылкам и никому не передавайте доступ в свою почту или личный кабинет регистратора, даже тем, кому доверяете; 

— берегите документы и персональные данные;

— если срок оплаты хостинг-аккаунта подходит к концу и планов продлевать его нет, то следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени;

— не стоит заранее прописывать в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.

Два последних совета как раз относятся к случаям, когда мошенники «захватывают»‎ домены законопослушных пользователей.

Если злоумышленнику всё-таки удалось захватить домены и перенести их к другому регистратору, то у него есть много способов монетизировать полученные домены, в том числе шантаж или требования выкупа доменов. Не стоит сдаваться и платить деньги. Обратитесь в органы, а также к старому и новому регистраторам, предоставив все документы и подробное объяснение ситуации. Тогда шансы, что всё решится в положительную для вас сторону велики. 

⌘⌘⌘

Пишите в комментариях, хотите ли вы больше узнать о веб-безопасности и какие темы были бы наиболее интересны. Мы всегда готовы поделиться полезным опытом.

И не забывайте читать наши статьи в разделе «Безопасность», в котором можно найти много полезных советов!

Парсинг данных: лучшие сервисы для веб-скрапинга

Часто у вебмастера, маркетолога или SEO-специалиста возникает необходимость извлечь данные со страниц сайтов и отобразить их в удобном виде для...
Read More

6 фишек, которые увеличат вовлечённость в Instagram

Вовлеченность в Инстаграме напрямую влияет на привлечение и удержание аудитории, повышение её доверия и лояльности к бренду, а также на...
Read More

Современное искусство в REG.RU: граффити в новом дата-центре

Вы наверняка уже знаете, что не так давно у нас появился свой собственный первый дата-центр. Мы продолжаем его обустраивать, и...
Read More

Пошагово объясняем как самостоятельно создать сайт в REG.Site

Для многих пользователей процесс создания сайта кажется чем-то невероятно сложным, особенно когда речь идёт о самостоятельном проектировании и разработке веб-страницы....
Read More

220 000 бизнес-клиентов, домен за 5 млн рублей, 3,3 млн доменов на обслуживании: факты и статистика к 15-летию REG.RU

Ура-ура! 22 мая нам исполнилось 15 лет, и мы по-прежнему двигаемся только вперёд и становимся лучше. За годы работы наша...
Read More

Революционная ОС: лучшие дистрибутивы Linux

Linux — одна из наиболее распространённых в мире ОС, которая, к тому же, является открытой и бесплатной. Сегодня мы расскажем...
Read More

Искусство спасёт мир: с днём рождения, .ART!

В мае 2021 года доменной зоне .ART исполнилось 4 года. В этом материале поделимся актуальной статистикой и крутыми проектами, которые...
Read More

IT-сиеста: что посмотреть, послушать или почитать айтишнику

Как айтишнику провести время с пользой и узнать что-то новое, отдыхая? Мы задались этим вопросом и сделали подборку книг, фильмов...
Read More

Лучшие сервисы для подбора ключевых слов

Давайте представим: вы сделали сайт или купили готовый шаблон. Теперь перед вами стоит сложная задача — написать текст для веб-страницы,...
Read More

Осторожно, это ловушка: что такое социальная инженерия

«Привет! Я оказался в сложной ситуации. Можешь занять 5000 рублей до понедельника», — получали такое сообщение в соцсетях от «друзей»?...
Read More