О попытках массового «угона» доменов

В последнее время участились случаи перехвата управления доменными именами через кражу пароля к панели управления, с последующим изменением настроек адресации домена.

Наиболее распространены два способа «угона» доменов злоумышленниками:

• захват контактного почтового ящика;
• использование мошеннических (фишинговых) веб-страниц.

Захват контактного почтового адреса

При атаке с использованием почтового ящика, указанного в качестве контакта по домену в базе Whois, злоумышленник должен получить доступ на чтение сообщений электронной почты, поступающей на атакуемый адрес и использовать механизм напоминания пароля для того, чтобы получить сам пароль.

Получение доступа к почтовому ящику возможно различными способами, среди которых регистрация освободившегося адреса в той или иной почтовой службе. В последнем случае сценарий действий злоумышленников может быть следующим:

1. Злоумышленник находит домены, в контактных адресах которых значится адрес в какой-либо бесплатной почтовой службе (mail.ru, hotmail.com, live.com, yandex.ru и др.) и собирает список таких адресов;
2. Среди собранных адресов выбираются те, которые длительное время не использовались. Такие адреса могут быть освобождены почтовой службой для повторной регистрации;
3. Злоумышленник регистрирует свободные адреса «на себя» и запрашивает для них функцию восстановления пароля. Таким образом злоумышленник узнает пароль к панели управления.

Массовый сбор адресов проводится в автоматическом режиме, с помощью анализа открытой информации службы Whois. Последующее использование собранных паролей также возможно в автоматическом режиме.

Компания RU-CENTER рекомендует администраторам доменов проверить актуальность контактных адресов e-mail и удостовериться в том, что к почтовому ящику не имеют доступа посторонние лица.

Использование мошеннических веб-страниц для «угона» доменов

Атаки, основанные на использовании мошеннических веб-страниц, имитирующих интерфейс системы авторизации пользователей, работают по следующему сценарию:

1. На сторонних серверах, контролируемых злоумышленниками, размещаются специальным образом подготовленные веб-страницы, по оформлению абсолютно аналогичные страницам панели управления;
2. Адреса этих страниц распространяются с помощью спам-рассылок. В мошеннических письмах пользователям предлагается перейти по специальной ссылке, которая имитирует адрес легитимного сервера.
3. Перешедшему на мошенническую веб-страницу пользователю предлагается ввести свои логин и пароль от панели управления услугами. Введенные авторизационные данные передаются злоумышленникам.

Так как в данном случае пользователь самостоятельно, напрямую передает свои реквизиты доступа злоумышленникам, противодействие мошенничеству со стороны провайдера услуг чрезвычайно затруднено.

Компания RU-CENTER рекомендует администраторам доменов обратить внимание на характер ссылок, получаемых по электронной почте, а также тщательно сверять с официальной информацией данные отправителя рассылок и адреса серверов, на которых вводятся логин и пароль.

Не следует вводить пароли от панели управления на незнакомых сайтах и при возникновении каких-либо сомнений в легитимности адресов (например, произошла неожиданная смена привычного URL, выдаются предупреждения системы безопасности браузера и т.п.).

Предлагаем ознакомиться с общими правилами безопасного сопровождения доменов, которые описаны в специальном разделе.