О попытках массового «угона» доменов

11.06.2010

В последнее время участились случаи перехвата управления доменными именами через кражу пароля к панели управления на сайте Регистраторов, с последующим изменением настроек адресации домена.

Наиболее распространены два способа «угона» доменов злоумышленниками:

• захват контактного почтового ящика;
• использование мошеннических (фишинговых) веб-страниц.

Захват контактного почтового адреса

При атаке с использованием почтового ящика, указанного в качестве контакта по домену в базе Whois, злоумышленник должен получить доступ на чтение сообщений электронной почты, поступающей на атакуемый адрес и использовать механизм напоминания пароля для того, чтобы получить сам пароль.

Получение доступа к почтовому ящику возможно различными способами, среди которых регистрация освободившегося адреса в той или иной почтовой службе. В последнем случае сценарий действий злоумышленников может быть следующим:

1. Злоумышленник находит домены, в контактных адресах которых значится адрес в какой-либо бесплатной почтовой службе (mail.ru, hotmail.com, live.com, yandex.ru и др.) и собирает список таких адресов;
2. Среди собранных адресов выбираются те, которые длительное время не использовались. Такие адреса могут быть освобождены почтовой службой для повторной регистрации;
3. Злоумышленник регистрирует свободные адреса «на себя» и запрашивает для них функцию восстановления пароля. Таким образом злоумышленник узнает пароль к панели управления.

Массовый сбор адресов проводится в автоматическом режиме, с помощью анализа открытой информации службы Whois. Последующее использование собранных паролей также возможно в автоматическом режиме.

Студия Слимарт рекомендует администраторам доменов проверить актуальность контактных адресов e-mail и удостовериться в том, что к почтовому ящику не имеют доступа посторонние лица.

Использование мошеннических веб-страниц для «угона» доменов

Атаки, основанные на использовании мошеннических веб-страниц, имитирующих интерфейс системы авторизации пользователей, работают по следующему сценарию:

1. На сторонних серверах, контролируемых злоумышленниками, размещаются специальным образом подготовленные веб-страницы, по оформлению абсолютно аналогичные страницам панели управления;
2. Адреса этих страниц распространяются с помощью спам-рассылок. В мошеннических письмах пользователям предлагается перейти по специальной ссылке, которая имитирует адрес легитимного сервера.
3. Перешедшему на мошенническую веб-страницу пользователю предлагается ввести свои логин и пароль от панели управления услугами. Введенные авторизационные данные передаются злоумышленникам.

Так как в данном случае пользователь самостоятельно, напрямую передает свои реквизиты доступа злоумышленникам, противодействие мошенничеству со стороны провайдера услуг чрезвычайно затруднено.

Студия Слимарт рекомендует администраторам доменов обратить внимание на характер ссылок, получаемых по электронной почте, а также тщательно сверять с официальной информацией данные отправителя рассылок и адреса серверов, на которых вводятся логин и пароль.

Не следует вводить пароли от панели управления на незнакомых сайтах и при возникновении каких-либо сомнений в легитимности адресов (например, произошла неожиданная смена привычного URL, выдаются предупреждения системы безопасности браузера и т.п.).

Предлагаем ознакомиться с общими правилами безопасного сопровождения доменов, которые описаны на сайте RU-CENTER в специальном разделе.