Поиск по сайту Поиск

Как кибермошенники крадут домены и как защитить свой?

Злоумышленники ежедневно крадут домены и используют их для своих целей. Причём осенью 2020-го года, по подсчётам компании Group-IB, угоны участились, а в группе риска находятся около 30 000 веб-адресов. Инженер по безопасности REG.RU Георгий Шутяев рассказывает, как чаще всего угоняют домены и как обезопасить свой. 

Чаще всего украденные домены используют для фишинга, шантажа, выкупа и SCAM-проектов

Украденные домены, как правило, используют для фишинга, шантажа, выкупа и SCAM-проектов (когда сервис/сайт/люди берут деньги и не предоставляют услуги или товар взамен, то есть попросту скрываются с деньгами жертвы). Можно выделить несколько основных схем, по которым происходят кражи. 

Схема кражи доменов через электронную почту

В первую очередь злоумышленники узнают почту, к которой привязаны необходимые им домены. Например, воспользовавшись Whois-сервисом или просто банально взяв контактную информацию с сайта компании. Также существуют методы OSINT (поиск на основе открытых данных) для поиска необходимой информации о жертве.

Далее злоумышленник взламывает почту жертвы. Методики взлома разные: фишинг, поиск пароля в утечках данных компаний, брутфорс (подбор пароля), вирус на ПК жертвы, социальная инженерия, копия SIM-карты (например, если установлена двухфакторная аутентификация) и так далее. Получив доступ к почте, злоумышленник сбрасывает пароль от аккаунта у регистратора, заходит в аккаунт жертвы и меняет все логины /пароли, а затем и почты на свои. 

Пример взлома почты администратора
Большинство угонов доменов связаны со взломом почты администратора

Схема с подделкой документов 

Злоумышленник подделывает документы и запрашивает у текущего регистратора перенос доменов на другого регистратора (чтобы лишить возможности настоящего владельца вернуть свои домены себе). 

Дальше многое зависит от регистратора (например, специалисты REG.RU умеют отличать даже тщательно сделанные подделки от оригинала) и, как не удивительно, от самого собственника доменов. Ему нужно немедленно подать заявление в полицию, написать регистратору с просьбой приостановить перенос домена и поставить блок на операции с доменом на время расследования (приложив все документы удостоверяющие личность, копию талона о принятии заявления в МВД и прочие документы, которые может потребовать регистратор), а также попробовать восстановить почту. 

Пример поддельных документов для кражи
Мошенники часто используют поддельные документы для кражи домена 

Схема с «Чёрным SEO»‎

Не стоит также забывать, что злоумышленники идут на всякие ухищрения, чтобы заманить доверчивых пользователей на сайт. Есть множество методик «чёрного SEO», когда в поисковых системах продвигаются в топ сайты с сомнительным контентом. Бывает так, что злоумышленник регистрирует домен и наполняет сайт на нём   легальным контентом или покупает домен с готовым сайтом на вторичном рынке. 

После этого на сайт запускается контекстная реклама. Как только реклама проходит модерацию от поисковика, злоумышленник подменяет контент сайта на вредоносный . И получается, когда пользователь набирает, например, запрос «‎медкнижка тверь»‎, поисковая система выдаёт контекстную рекламу с вредоносным контентом внутри.  

Важно отметить, что долго такие схемы не живут, т.к. поисковики постоянно сканируют ссылки, которые указаны в рекламных объявлениях. За подмену контента могут блокировать аккаунт целиком. Поэтому часто мошенники регистрируют или покупают сразу много аккаунтов для таких целей.

Схема с использованием легитимных доменов

К сожалению, мошенники находят всё новые лазейки и сегодня для своих целей им не обязательно даже угонять домен. Осенью 2020 года специалисты Group-IB выявили схему, когда злоумышленники использовали не созданные «‎с нуля»‎ и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям. Жертвами становились владельцы тех доменных имен, которые хотя и оплачены, и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту.

Такое, по мнению Group-IB, происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «‎перехвата»‎ занимает от 30 минут до нескольких часов. После этих манипуляций злоумышленники могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для для мошенничества.

Как защитить домен от посягательств кибермошенников? 

Чтобы защитится от мошеннических схем, стоит придерживаться хотя бы минимальных требований безопасности: 

— изучите правила доменной зоны;

— вводите при регистрации корректные данные в личном кабинете и поддерживайте их актуальность;

— уберите с почты «контрольный вопрос» (если забыли пароль); 

— установите двухфакторную аутентификацию и сложный пароль как на почте, так и в личном кабинете регистратора; 

— подключите защиту контактных данных у регистратора и скрытие данных в Whois, если ваши данные открыты (например, в .RU и .РФ данные физических лиц скрыты по умолчанию, в других зонах не всегда);

— не используйте одинаковые пароли на разных сервисах (если у одного из сервисов будет утечка, то другие ваши сервисы и данные в них окажутся под угрозой, например, почта или личный кабинет регистратора); 

— если у вас юрлицо, тогда регистрируйте домен на юрлицо;

— не переходите по неизвестным ссылкам и никому не передавайте доступ в свою почту или личный кабинет регистратора, даже тем, кому доверяете; 

— берегите документы и персональные данные;

— если срок оплаты хостинг-аккаунта подходит к концу и планов продлевать его нет, то следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени;

— не стоит заранее прописывать в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.

Два последних совета как раз относятся к случаям, когда мошенники «захватывают»‎ домены законопослушных пользователей.

Если злоумышленнику всё-таки удалось захватить домены и перенести их к другому регистратору, то у него есть много способов монетизировать полученные домены, в том числе шантаж или требования выкупа доменов. Не стоит сдаваться и платить деньги. Обратитесь в органы, а также к старому и новому регистраторам, предоставив все документы и подробное объяснение ситуации. Тогда шансы, что всё решится в положительную для вас сторону велики. 

⌘⌘⌘

Пишите в комментариях, хотите ли вы больше узнать о веб-безопасности и какие темы были бы наиболее интересны. Мы всегда готовы поделиться полезным опытом.

Защищайте домены и не забывайте читать наши статьи в разделе «Безопасность», в котором можно найти много полезных советов!

Как запустить сеть придорожных кафе с АЗС на Севере

Запускать бизнес в регионе — значит столкнуться со слабым сервисом у поставщиков и подрядчиков, бороться за каждого квалифицированного сотрудника. Заниматься...
Read More

Собственный магазин или маркетплейс: где выгоднее продавать?

58% всех интернет-заказов в 2023 году совершили на маркетплейсах.  Популярность маркетплейсов активно растет. При этом рост количества продавцов снижается: в...
Read More

SEO для бизнеса: поисковики — тоже реклама

Что такое SEO-оптимизация, как она приносит выгоду собственному бизнесу и как ее настроить — в блоге Рег.ру
Read More

Какие показатели нужно отслеживать новому бизнесу? 10 главных метрик

Полный список финансовых показателей, которые нужно учитывать при запуске и развитии бизнеса. С формулами, комментариями и понятными примерами расчета. (далее…)
Read More

Драма Microsoft и Apple: от вражды до сотрудничества

Техногиганты всё время своего существования судились, обменивались колкостями и пытались обогнать друг друга по уровню новаторства в разработках. Наши коллеги...
Read More

Как компании меняли свой бренд из-за испорченной репутации: три кейса

В бизнесе нет страховки от ошибок — любой промах отражается на репутации. И иногда исправить ситуацию может только ребрендинг и...
Read More

Запускаем email-рассылку: как не попасть в спам при отправке писем

В статье рассказываем, почему рассылки попадают в спам, и делимся советами, как сделать так, чтобы письма всегда доставлялись до адресатов....
Read More

Ключ к успешному продвижению: что такое SMM-стратегия и как ее составить

Разберем, что такое SMM-стратегия, зачем она нужна и как эффективно использовать социальные сети для решения бизнес-задач. (далее…)
Read More

Новогодний маркетинг: лучшие приемы праздничной рекламы

Для бизнеса Новый год и Рождество — время всплеска продаж и увеличения прибыли. А способствуют этому всем знакомые персонажи: от...
Read More

Россияне предпочитают .ru вместо .com, а Дональд Трамп проиграл доменный спор за mar-a-lago.com

Рассказываем самые интересные новости доменного мира. (далее…)
Read More