Поиск по сайту Поиск

Как кибермошенники крадут домены и как защитить свой?

Злоумышленники ежедневно крадут домены и используют их для своих целей. Причём осенью 2020-го года, по подсчётам компании Group-IB, угоны участились, а в группе риска находятся около 30 000 веб-адресов. Инженер по безопасности REG.RU Георгий Шутяев рассказывает, как чаще всего угоняют домены и как обезопасить свой. 

Чаще всего украденные домены используют для фишинга, шантажа, выкупа и SCAM-проектов

Украденные домены, как правило, используют для фишинга, шантажа, выкупа и SCAM-проектов (когда сервис/сайт/люди берут деньги и не предоставляют услуги или товар взамен, то есть попросту скрываются с деньгами жертвы). Можно выделить несколько основных схем, по которым происходят кражи. 

Схема кражи доменов через электронную почту

В первую очередь злоумышленники узнают почту, к которой привязаны необходимые им домены. Например, воспользовавшись Whois-сервисом или просто банально взяв контактную информацию с сайта компании. Также существуют методы OSINT (поиск на основе открытых данных) для поиска необходимой информации о жертве.

Далее злоумышленник взламывает почту жертвы. Методики взлома разные: фишинг, поиск пароля в утечках данных компаний, брутфорс (подбор пароля), вирус на ПК жертвы, социальная инженерия, копия SIM-карты (например, если установлена двухфакторная аутентификация) и так далее. Получив доступ к почте, злоумышленник сбрасывает пароль от аккаунта у регистратора, заходит в аккаунт жертвы и меняет все логины /пароли, а затем и почты на свои. 

Пример взлома почты администратора
Большинство угонов доменов связаны со взломом почты администратора

Схема с подделкой документов 

Злоумышленник подделывает документы и запрашивает у текущего регистратора перенос доменов на другого регистратора (чтобы лишить возможности настоящего владельца вернуть свои домены себе). 

Дальше многое зависит от регистратора (например, специалисты REG.RU умеют отличать даже тщательно сделанные подделки от оригинала) и, как не удивительно, от самого собственника доменов. Ему нужно немедленно подать заявление в полицию, написать регистратору с просьбой приостановить перенос домена и поставить блок на операции с доменом на время расследования (приложив все документы удостоверяющие личность, копию талона о принятии заявления в МВД и прочие документы, которые может потребовать регистратор), а также попробовать восстановить почту. 

Пример поддельных документов для кражи
Мошенники часто используют поддельные документы для кражи домена 

Схема с «Чёрным SEO»‎

Не стоит также забывать, что злоумышленники идут на всякие ухищрения, чтобы заманить доверчивых пользователей на сайт. Есть множество методик «чёрного SEO», когда в поисковых системах продвигаются в топ сайты с сомнительным контентом. Бывает так, что злоумышленник регистрирует домен и наполняет сайт на нём   легальным контентом или покупает домен с готовым сайтом на вторичном рынке. 

После этого на сайт запускается контекстная реклама. Как только реклама проходит модерацию от поисковика, злоумышленник подменяет контент сайта на вредоносный . И получается, когда пользователь набирает, например, запрос «‎медкнижка тверь»‎, поисковая система выдаёт контекстную рекламу с вредоносным контентом внутри.  

Важно отметить, что долго такие схемы не живут, т.к. поисковики постоянно сканируют ссылки, которые указаны в рекламных объявлениях. За подмену контента могут блокировать аккаунт целиком. Поэтому часто мошенники регистрируют или покупают сразу много аккаунтов для таких целей.

Схема с использованием легитимных доменов

К сожалению, мошенники находят всё новые лазейки и сегодня для своих целей им не обязательно даже угонять домен. Осенью 2020 года специалисты Group-IB выявили схему, когда злоумышленники использовали не созданные «‎с нуля»‎ и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям. Жертвами становились владельцы тех доменных имен, которые хотя и оплачены, и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту.

Такое, по мнению Group-IB, происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «‎перехвата»‎ занимает от 30 минут до нескольких часов. После этих манипуляций злоумышленники могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для для мошенничества.

Как защитить домен от посягательств кибермошенников? 

Чтобы защитится от мошеннических схем, стоит придерживаться хотя бы минимальных требований безопасности: 

— изучите правила доменной зоны;

— вводите при регистрации корректные данные в личном кабинете и поддерживайте их актуальность;

— уберите с почты «контрольный вопрос» (если забыли пароль); 

— установите двухфакторную аутентификацию и сложный пароль как на почте, так и в личном кабинете регистратора; 

— подключите защиту контактных данных у регистратора и скрытие данных в Whois, если ваши данные открыты (например, в .RU и .РФ данные физических лиц скрыты по умолчанию, в других зонах не всегда);

— не используйте одинаковые пароли на разных сервисах (если у одного из сервисов будет утечка, то другие ваши сервисы и данные в них окажутся под угрозой, например, почта или личный кабинет регистратора); 

— если у вас юрлицо, тогда регистрируйте домен на юрлицо;

— не переходите по неизвестным ссылкам и никому не передавайте доступ в свою почту или личный кабинет регистратора, даже тем, кому доверяете; 

— берегите документы и персональные данные;

— если срок оплаты хостинг-аккаунта подходит к концу и планов продлевать его нет, то следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени;

— не стоит заранее прописывать в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.

Два последних совета как раз относятся к случаям, когда мошенники «захватывают»‎ домены законопослушных пользователей.

Если злоумышленнику всё-таки удалось захватить домены и перенести их к другому регистратору, то у него есть много способов монетизировать полученные домены, в том числе шантаж или требования выкупа доменов. Не стоит сдаваться и платить деньги. Обратитесь в органы, а также к старому и новому регистраторам, предоставив все документы и подробное объяснение ситуации. Тогда шансы, что всё решится в положительную для вас сторону велики. 

⌘⌘⌘

Пишите в комментариях, хотите ли вы больше узнать о веб-безопасности и какие темы были бы наиболее интересны. Мы всегда готовы поделиться полезным опытом.

Защищайте домены и не забывайте читать наши статьи в разделе «Безопасность», в котором можно найти много полезных советов!

Для чего нужен межсетевой экран и как он работает

Разберемся, что такое межсетевой экран (он же firewall или файрвол, а также brandmauer или брандмайэр), как он работает и для...
Read More

Аутсорсинг VS собственное производство одежды: опыт бренда кроссовок

Один способ позволяет отслеживать каждую деталь изделия, другой – сфокусироваться на брендинге и маркетинге. Разбираемся в плюсах и минусах каждого варианта и выбираем оптимальный для старта бизнеса.
Read More

Как сократить затраты на инфраструктуру в два раза: опыт ИТ-компании Ctrl2GO

Рассказываем, как помогли российскому разработчику систем аналитики мигрировать в частное облако и сократить затраты на аутсорсинговые услуги. (далее…)
Read More

Каким должен быть сайт-визитка для эксперта

Рассказываем, как создать сайт-визитку и какой должна быть структура. Внутри — инструкция, которая поможет предпринимателям.
Read More

Как продвигать бизнес с помощью геосервисов

Онлайн-карты — хорошая площадка для привлечения аудитории в бизнес. Рассказываем об инструментах продвижения в геосервисах.
Read More

Как открыть своё digital-агентство

Можно стартовать с багажом знаний из найма или практически без опыта. Рассказываем, что нужно делать: от проработки идеи и миссии до поиска первых клиентов и сотрудников.
Read More

Что такое Data Science и кто такой Data Scientist

Что такое наука о данных, чем занимается Data Scientist и можно ли обучиться этой специальности с нуля – об этом...
Read More

Как и зачем малому бизнесу работать с НКО

Начинающим компаниям в сфере IT, дизайна, PR и маркетинга, бухгалтерских и аудиторских услуг НКО могут быть очень полезны как клиенты. Раскрываем все нюансы такого сотрудничества: от выбора партнёра до менеджмента проекта и финансовых отношений.
Read More

K8s для начинающих

В современном мире применение контейнеризации стало неотъемлемой частью процесса разработки и тестирования программного обеспечения. Контейнеры позволяют разработчикам упаковывать приложения вместе...
Read More

Как открыть ИП

Статус ИП — удобный «средний» вариант для старта бизнеса. Рассказываем, как открыть ИП, сколько времени и денег на это потребуется, на что обратить внимание.
Read More