Угнать за пару кликов: Group-IB вскрыла схему фишинга с использованием легальных доменов

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, предупреждает об участившихся случаях воровства доменных имен. В группе риска у популярных международных и российских хостинг-провайдеров оказались как минимум 30 500 доменов. «Угнанные» ресурсы злоумышленники чаще всего используют для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей скомпрометированного сайта.

О наличии подобной угрозы представители CERT-GIB сообщили на встрече Координационного центра компетентных организаций и регистраторов доменов RU/РФ, а также оперативно оповестили об этом российских и международных хостинг-провайдеров, региональных интернет-регистраторов (RIR).

Медкнижка с сюрпризом

Осенью этого года, исследуя многочисленные фишинговые сайты, нацеленные на клиентов одного из крупных российских банков, аналитики Group-IB обратили внимание на любопытную деталь: злоумышленники использовали не созданные «с нуля» и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям.

Один из подобных сайтов, “медкнижка-тверь.рф”, появился весной 2019 года для рекламы медицинских услуг, однако уже в августе этого года весь легальный контент с него был удален, зато появилось объявление о несуществующей акции от лица одного из крупных российских банков: традиционно за прохождение опроса пользователям обещали 2020 рублей. В результате, отвечая на несложные вопросы, в конце пользователь должен был ввести данные банковской карты и CVCCVV якобы для перевода ему денег.

Вводило в заблуждение то, что доменное имя ресурса было абсолютно легальным — «медкнижка-тверь.рф» — и было оплачено до мая 2021, но у владельца истек срок действия хостинг-аккаунта, и этим воспользовались злоумышленники (опасный сайт был заблокирован CERT-GIB).

Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты Group-IB установили, как действовала схема «угона» домена. Жертвами становятся владельцы тех доменных имен, которые хотя и оплачены и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту. Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «перехвата» занимает от 30 минут до нескольких часов.

После этих несложных манипуляций угонщики могут разместить на захваченном сайте свой контент, создать почту, чтобы использовать ресурс для финансового мошенничества — кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта банковскими троянами, программами-шпионами, вирусами-шифровальщиками (атаки типа watering hole).

Для чистоты эксперимента аналитики CERT-GIB приготовили ловушку — зарегистрировали подходящее для угона доменное имя и указали NS-записи одного из наиболее популярных хостинг-провайдеров. Не прошло и нескольких дней, как угонщики обнаружили «бесхозный» домен, переместили к своему хостинг-провайдеру и разместили на нем свой контент.

В группе риска

Проверив с помощью системы Group-IB Threat Intelligence выборку из 3,2 млн доменов у наиболее крупных российских и международных хостинг-провайдеров, эксперты выделили около 30 500, входящих в «группу риска» — тех, что злоумышленники без труда смогут «угнать».

Опасность этой схемы заключается в том, что она позволяет размещать чужой контент на домене без ведома владельца и без какого-либо уведомления со стороны хостинг-провайдера. CERT-GIB предупредил о наличии подобной проблемы всех хостинг-провайдеров, у которых была обнаружена подобная уязвимость, региональные интернет-регистраторы. Предотвращение подобного захвата доменов может привести к существенному сокращению фишингового контента, а также распространения вредоносных программ и спам-рассылок в интернете.

Aleksandr Kalinin
Александр Калинин

Глава CERT-GIB

Кстати, некоторые зарубежные хостинг-провайдеры используют различные технологии, позволяющие избежать или существенно усложнить захват легальных доменных имен. Например, одни хостеры используют широкую сеть NS-серверов, которые выдаются пользователю непредсказуемым образом — из-за случайности выбора возможных записей злоумышленнику трудно присоединить домен к хостингу. Другие хостеры ведут собственные базы доменов клиентов: если доменное имя ранее было привязано к другому хостинг-аккаунту, перепривязать его к новому аккаунту уже нельзя.

Для того, чтобы избежать «угона» своего домена, специалисты CERT-GIB рекомендуют выполнять следующие несложные процедуры. Если срок оплаты хостинг-аккаунта подходит к концу и продлевать его никто не планирует, следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени. В группе риска также находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.

О компании

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира Group-IB расположена в Москве. Компания является резидентом «Сколково» и Иннополиса.

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в 2022 году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.