Group-IB предупредила об участившихся случаях воровства доменных имен. В группе риска у популярных международных и российских хостинг-провайдеров оказались как минимум 30 500 доменов. Угнанные ресурсы чаще всего используются для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей.

Осенью этого года, исследуя многочисленные фишинговые сайты, нацеленные на клиентов одного из крупных российских банков, аналитики компании обратили внимание на любопытную деталь: злоумышленники использовали не созданные «с нуля» и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям.

Один из подобных сайтов, медкнижка-тверь.рф, появился весной 2019 года для рекламы медицинских услуг, однако уже в августе этого года весь легальный контент с него был удален, зато появилось объявление о несуществующей акции от лица одного из крупных российских банков: традиционно за прохождение опроса пользователям обещали 2020 рублей. В результате, отвечая на несложные вопросы, в конце пользователь должен был ввести данные банковской карты и CVC\CVV якобы для перевода ему денег.

Вводило в заблуждение то, что доменное имя ресурса было абсолютно легальным, и было оплачено до мая 2021, однако срок действия хостинг-аккаунта владельца истек, и этим воспользовались злоумышленники.

Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты Group-IB установили, как действовала схема «угона» доменов. Жертвами становились владельцы тех доменных имен, которые были оплачены и не заблокированы со стороны регистратора, но при этом не были привязаны к хостинг-аккаунту.

Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «перехвата» занимает от 30 минут до нескольких часов.

После этих несложных манипуляций угонщики могут разместить на захваченном сайте собственный контент, создать почту, чтобы использовать ресурс для финансового мошенничества — кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта банковскими троянами, спайварью, шифровальщиками (через атаки типа watering hole).

Для чистоты эксперимента аналитики приготовили ловушку — зарегистрировали подходящее для угона доменное имя и указали NS-записи одного из наиболее популярных хостинг-провайдеров. Не прошло и нескольких дней, как угонщики обнаружили «бесхозный» домен, переместили к своему хостинг-провайдеру и разместили на нем свой контент.

Проверив выборку из 3 200 000 доменов у наиболее крупных российских и международных хостинг-провайдеров, эксперты выделили около 30 500, входящих в «группу риска» — те домены, что злоумышленники без труда смогут угнать.

Интересно, что некоторые зарубежные хостинг-провайдеры используют различные технологии, позволяющие избежать или существенно усложнить захват легальных доменных имен. Например, одни хостеры используют широкую сеть NS-серверов, которые выдаются пользователю непредсказуемым образом — из-за случайности выбора возможных записей злоумышленнику трудно присоединить домен к хостингу. Другие хостеры ведут собственные базы доменов клиентов: если доменное имя ранее было привязано к другому хостинг-аккаунту, перепривязать его к новому аккаунту уже нельзя.

«Опасность этой схемы заключается в том, что она позволяет размещать чужой контент на домене без ведома владельца и без какого-либо уведомления со стороны хостинг-провайдера. CERT-GIB предупредил о наличии подобной проблемы всех хостинг-провайдеров, у которых была обнаружена подобная уязвимость. Предотвращение подобного захвата доменов, может привести к существенному сокращению фишингового контента, а также распространения вредоносных программ и спам-рассылок в интернете», — комментирует Александр Калинин, глава CERT-GIB.

Чтобы избежать угона домена, специалисты рекомендуют выполнять следующие несложные процедуры. Если срок оплаты хостинг-аккаунта подходит к концу, и продлевать его никто не планирует, следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени. В группе риска также находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера, до привязки самого домена к хостинг-аккаунту.

Оставить мнение