19 ноября 2020

Угнать за пару кликов: Group-IB вскрыла схему фишинга с использованием легальных доменов

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, предупреждает об участившихся случаях воровства доменных имен. В группе риска у популярных международных и российских хостинг-провайдеров оказались как минимум 30 500 доменов. «Угнанные» ресурсы злоумышленники чаще всего используют для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей скомпрометированного сайта.

О наличии подобной угрозы представители CERT-GIB сообщили на встрече Координационного центра компетентных организаций и регистраторов доменов RU/РФ, а также оперативно оповестили об этом российских и международных хостинг-провайдеров, региональных интернет-регистраторов (RIR).

Медкнижка с сюрпризом

Осенью этого года, исследуя многочисленные фишинговые сайты, нацеленные на клиентов одного из крупных российских банков, аналитики Group-IB обратили внимание на любопытную деталь: злоумышленники использовали не созданные «с нуля» и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям.

Один из подобных сайтов, «медкнижка-тверь.рф», появился весной 2019 года для рекламы медицинских услуг, однако уже в августе этого года весь легальный контент с него был удален, зато появилось объявление о несуществующей акции от лица одного из крупных российских банков: традиционно за прохождение опроса пользователям обещали 2020 рублей. В результате, отвечая на несложные вопросы, в конце пользователь должен был ввести данные банковской карты и CVC\CVV якобы для перевода ему денег.

Вводило в заблуждение то, что доменное имя ресурса было абсолютно легальным — «медкнижка-тверь.рф» — и было оплачено до мая 2021, но у владельца истек срок действия хостинг-аккаунта, и этим воспользовались злоумышленники (опасный сайт был заблокирован CERT-GIB).

Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты Group-IB установили, как действовала схема «угона» домена. Жертвами становятся владельцы тех доменных имен, которые хотя и оплачены и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту. Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «перехвата» занимает от 30 минут до нескольких часов.

После этих несложных манипуляций угонщики могут разместить на захваченном сайте свой контент, создать почту, чтобы использовать ресурс для финансового мошенничества — кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта банковскими троянами, программами-шпионами, вирусами-шифровальщиками (атаки типа watering hole).

Для чистоты эксперимента аналитики CERT-GIB приготовили ловушку — зарегистрировали подходящее для угона доменное имя и указали NS-записи одного из наиболее популярных хостинг-провайдеров. Не прошло и нескольких дней, как угонщики обнаружили «бесхозный» домен, переместили к своему хостинг-провайдеру и разместили на нем свой контент.

В группе риска

Проверив с помощью системы Group-IB Threat Intelligence выборку из 3,2 млн доменов у наиболее крупных российских и международных хостинг-провайдеров, эксперты выделили около 30 500, входящих в «группу риска» — тех, что злоумышленники без труда смогут «угнать».

Опасность этой схемы заключается в том, что она позволяет размещать чужой контент на домене без ведома владельца и без какого-либо уведомления со стороны хостинг-провайдера. CERT-GIB предупредил о наличии подобной проблемы всех хостинг-провайдеров, у которых была обнаружена подобная уязвимость, региональные интернет-регистраторы. Предотвращение подобного захвата доменов может привести к существенному сокращению фишингового контента, а также распространения вредоносных программ и спам-рассылок в интернете.

Aleksandr Kalinin

Александр Калинин

Глава CERT-GIB

Кстати, некоторые зарубежные хостинг-провайдеры используют различные технологии, позволяющие избежать или существенно усложнить захват легальных доменных имен. Например, одни хостеры используют широкую сеть NS-серверов, которые выдаются пользователю непредсказуемым образом — из-за случайности выбора возможных записей злоумышленнику трудно присоединить домен к хостингу. Другие хостеры ведут собственные базы доменов клиентов: если доменное имя ранее было привязано к другому хостинг-аккаунту, перепривязать его к новому аккаунту уже нельзя.

Для того, чтобы избежать «угона» своего домена, специалисты CERT-GIB рекомендуют выполнять следующие несложные процедуры. Если срок оплаты хостинг-аккаунта подходит к концу и продлевать его никто не планирует, следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени. В группе риска также находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте