NS‑записи хостинг‑провайдера и безопасность доменов

С начала 2023 года эксперты компании по управлению цифровыми рисками BI.ZONE выявили свыше 560 мошеннических доменов, замаскированных под страницы для оплаты задолженностей

Примечательно, что все эти домены украдены у легитимных владельцев, а до взлома фишинговые площадки были интернет‑магазинами, новостными, туристическими и учебными порталами.

Поводом для расследования стали обращения владельцев нескольких заблокированных интернет‑ресурсов: они попросили BI.ZONE установить причину, по которой домены были отключены. Оказалось, что в большинстве случаев по этим адресам располагались фишинговые страницы.

Администраторы не имели отношения к мошенническим кампаниям: преступники похитили ресурсы и подменили контент, воспользовавшись сочетанием специфических обстоятельств. Чаще всего жертвами угона становились владельцы доменов, зарегистрированных без привязки к хостингу. Такое случается, например, когда домен только что выкуплен или если владелец пропустил срок оплаты хостинга.

Исследователи BI.ZONE отмечают, что организаторы кампании выбрали необычный метод для создания посадочных страниц, поскольку в большинстве случаев мошенники регистрируют для фишинговых атак новые домены. В данном случае преступники смогли дольше оставаться незамеченными благодаря использованию легитимных ресурсов с многолетней историей — cамый старый домен из обнаруженных BI.ZONE работает еще с начала 2011 года.

Мы не в первый раз сталкиваемся с подобной схемой мошенничества. В январе 2023 года команда направления BI.ZONE Brand Protection обнаружила 55 украденных доменов, в феврале — 64, в марте — 114, в апреле — 197, в мае — 130. Число угонов растет, поэтому владельцам доменов нужно оставаться бдительными.
Евгений Волошин
Директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству
Чтобы не оказаться в такой ситуации, специалисты BI.ZONE советуют полностью удалять текущие NS‑записи (связывают доменное имя с DNS‑сервером) в личном кабинете регистратора доменного имени, если срок оплаты заканчивается и планов продлевать его нет. Также не стоит прописывать в личном кабинете регистратора NS‑записи хостинг‑провайдера до привязки самого домена к хостинг‑аккаунту. Это поможет свести риски к минимуму.
Источник

 

Комментарии специалистов доменной индустрии-

«И главное — способ далеко не нов. Правда, по этому гениальному описанию его трудно узнать, но речь идёт о всего лишь эксплуатации чужих доменов, делегированных на DNS, которыми администратор домена не может управлять. Так что и домены никто не похищает. Единственная разумная рекомендация — разделегировать временно неиспользуемые домены и делегировать домен только после размещения на DNS.

Кстати, бывает и обратный способ эксплуатации, когда свой домен вешают на чужой сервер и эксплуатируют чужой контент для продвижения своего домена. Так что при настройке сервера хост по умолчанию должен или сбрасывать соединение, или показывать заглушку, или делать 301 редирект на основной сайт, но ни в коем случае не показывать сайт без правильного доменного имени в запросе.»

«Домены не похищают, а эксплуатируют. Есть домен, делегированный, например, на *.dnslist.ru, но при этом администратор домена не позаботился об услуге DNS-хостинга. И есть жук-г*, который имеет услугу DNS-хостинга, ищет такие домены и заводит у себя для них зону. То же самое произойдёт, если администратор домена перестанет продлевать хостинг (именно хостинг, не домен), но не поменяет делегирование домена. Естественно, когда этого жука ловим, сразу его полностью блокируем, беда в том, что обнаружить это удаётся только тогда администратор домена заметит неладное.
Так что фраза «полностью удалять текущие NS-записи в личном кабинете регистратора, если срок регистрации домена заканчивается и планов его продлевать нет» — бред. Разделегировать домен надо не тогда, когда его не будут продлевать, а тогда, когда его как раз планируют продлевать, но не планируют никак использовать.»

Метки: , , , , , , , ,