Group-IB вскрыла схему фишинга с использованием легальных доменов

19 ноября 2020 г. 9:00

Свыше 30 тысяч доменов популярных международных и российских хостинг-провайдеров оказались в группе риска на фоне участившихся случаев воровства доменных имен. Операция по перехвату домена занимает у злоумышленников от получаса до нескольких часов.

О наличии подобной угрозы представители участника Фонда «Сколково» Group-IB сообщили на встрече Координационного Центра компетентных организаций и регистраторов доменов RU/РФ, а также оперативно оповестили об этом российских и международных хостинг-провайдеров, региональных интернет-регистраторов (RIR). Похищенные ресурсы чаще всего используются для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей скомпрометированного сайта.

Осенью этого года, исследуя многочисленные фишинговые сайты, нацеленные на клиентов одного из крупных российских банков, аналитики Group-IB обратили внимание на любопытную деталь: злоумышленники использовали не созданные с нуля и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям.

Фото: Group-IB

Один из подобных сайтов — медкнижка-тверь.рф» появился весной 2019 года для рекламы медицинских услуг, однако уже в августе этого года весь легальный контент с него был удален, зато появилось объявление о несуществующей акции от лица одного из крупных российских банков: традиционно за прохождение опроса пользователям обещали 2020 рублей. В результате, отвечая на несложные вопросы, в конце пользователь должен был ввести данные банковской карты и CVC\CVV якобы для перевода ему денег.

Вводило в заблуждение то, что доменное имя ресурса было абсолютно легальным — «медкнижка-тверь.рф» и было оплачено до мая 2021, но у владельца истек срок действия хостинг-аккаунта, и этим воспользовались злоумышленники (опасный сайт был заблокирован CERT-GIB).

Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты Group-IB установили, как действовала схема «угона» домена. Жертвами становятся владельцы тех доменных имен, которые хотя и оплачены и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту. Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «перехвата» занимает от 30 минут до нескольких часов.

После этих несложных манипуляций угонщики могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для финансового мошенничества — кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта банковскими троянами, программами-шпионами, вирусами-шифровальщиками (атаки типа watering hole).

Для чистоты эксперимента аналитики CERT-GIB приготовили ловушку — зарегистрировали доменное имя, удовлетворяющее критериям для угона. Не прошло и нескольких дней, как угонщики обнаружили «бесхозный» домен, переместили к своему хостинг-провайдеру и разместили на нем свой контент.

Проверив с помощью системы Group-IB Threat Intelligence выборку из 3,2 млн доменов у наиболее крупных российских и международных хостинг-провайдеров, эксперты выделили около 30 500, входящих в группу риска, — тех, что злоумышленники без труда смогут похитить.

«Опасность этой схемы заключается в том, что она позволяет размещать чужой контент на домене без ведома владельца и без какого-либо уведомления со стороны хостинг-провайдера, — замечает руководитель CERT-GIB Александр Калинин. — Мы предупредили о наличии подобной проблемы всех хостинг-провайдеров, у которых была обнаружена подобная уязвимость, региональные интернет-регистраторы. Предотвращение подобного захвата доменов, может привести к существенному сокращению фишингового контента, а также распространения вредоносных программ и спам-рассылок в интернете». 

Кстати, некоторые зарубежные хостинг-провайдеры используют различные технологии, позволяющие избежать или существенно усложнить захват легальных доменных имен. Например, одни хостеры используют широкую сеть NS-серверов, которые выдаются пользователю непредсказуемым образом. Другие хостеры ведут собственные базы доменов клиентов: если доменное имя ранее было привязано к другому хостинг-аккаунту, перепривязать его к новому аккаунту уже нельзя.

Для того, чтобы избежать «угона» своего домена, специалисты CERT-GIB рекомендуют выполнять следующие несложные процедуры. Если срок оплаты хостинг-аккаунта подходит к концу и продлевать его никто не планирует, следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени. В группе риска также находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.