Домен в угоне

В последнее время участились случаи перехвата управления доменными именами через кражу пароля к панели управления, с последующим изменением настроек адресации домена. Наиболее распространены два способа "угона" доменов злоумышленниками:

• захват контактного почтового ящика;
• использование мошеннических (фишинговых) веб-страниц.

В обоих случаях цель у злоумышленников одна:  получение пароля к панели управления услугами для изменения настроек адресации домена.

При атаке с использованием почтового ящика, указанного в качестве контакта по домену в базе whois, злоумышленник на первом этапе получает доступ на чтение сообщений электронной почты, поступающей на атакуемый адрес, а на втором этапе использует механизм напоминания пароля для того, чтобы получить сам пароль.

В проведении подобных атак злоумышленникам помогают устаревшие контактные данные, указанные пользователями при регистрации доменных имен. Старые и длительное время неиспользовавшиеся адреса e-mail на бесплатных почтовых службах (mail.ru, hotmail.com, live.com, yandex.ru и др.) могут быть освобождены этими службами. В результате такие почтовые ящики становятся доступны для повторной регистрации.  Это позволяет злоумышленникам перехватить освобождающиеся адреса e-mail, зарегистрировав их на себя. Массовый сбор адресов проводится в автоматическом режиме, с помощью анализа открытой информации службы whois. В дальнейшем, на захваченные e-mail злоумышленники получают пароли доступа к панели управления с помощью механизма напоминания пароля.

Несмотря на то, что данная атака является очень старой и хорошо известной (с 90-х годов прошлого века), неактуальные адреса e-mail, к сожалению, продолжают массово встречаться в контактной информации whois.

С целью предотвращения перехвата управления доменами, компания RU-CENTER настоятельно рекомендует администраторам доменов проверить актуальность контактных адресов e-mail и удостовериться в том, что посторонние лица не имеют доступа к почтовому ящику. Со своей стороны, RU-CENTER применяет дополнительные технологические и организационно-правовые меры, предотвращающие перехват управления доменом при захвате почтового ящика администратора злоумышленниками.  В  частности, введены дополнительные процедуры авторизации при запросе и изменении паролей.

Второй тип атаки основан на использовании мошеннических веб-страниц, имитирующих интерфейс системы авторизации пользователей. Такие страницы размещаются на сторонних серверах, контролируемых злоумышленниками. Адреса страниц распространяются с помощью спам-рассылок. В мошеннических письмах пользователям предлагается перейти по специальной ссылке, которая имитирует адрес легитимного сервера. Посетившему мошенническую страницу пользователю предлагается ввести свои логин и пароль от панели управления услугами. Введенные авторизационные данные передаются злоумышленникам. Так как в данном случае пользователь самостоятельно и напрямую передает свои реквизиты доступа злоумышленникам, противодействие мошенничеству со стороны провайдера услуг чрезвычайно затруднено.

Мошеннические веб-страницы могут очень точно имитировать внешний вид страниц интерфейса подлинной системы авторизации. Используется не только копирование оформления самой веб-страницы, но и специальные технологии подмены адресов и другой информации в навигационной панели браузера с помощью средств динамического управления контентом (Javascript и др.).

Компания RU-CENTER рекомендует администраторам доменов обратить внимание на посещаемые ссылки, при возможности тщательно сверять данные отправителя рассылок и адреса серверов, на которых вводятся логин и пароль, с официальными адресами. Не следует вводить пароли от панели управления на незнакомых сайтах, а также  при возникновении сомнений в легитимности адресов (например, произошла неожиданная смена привычного URL, выдаются предупреждения системы безопасности браузера). Для работы с панелью управления следует использовать безопасный протокол https.

Предлагаем также ознакомиться с общими правилами безопасного сопровождения доменов, которые описаны в специальном разделе официального сайта RU-CENTER.