Схема фишинга с использованием легальных доменов
Компания Group-IB сообщила об участившихся случаях воровства доменных имен. В «группе риска» у популярных международных и российских хостинг-провайдеров оказались как минимум 30500 доменов. Злоумышленники чаще всего используют такие ресурсы для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей скомпрометированного сайта.
Представители CERT-GIB сообщили об этой угрозе на встрече Координационного Центра компетентных организаций и регистраторов доменов RU/РФ, а также оповестили российских и международных хостинг-провайдеров, региональных интернет-регистраторов (RIR).
Как поясняют в Group-IB, осенью этого года, исследуя многочисленные фишинговые сайты, нацеленные на клиентов одного из крупных российских банков, аналитики компании обратили внимание на такую деталь: злоумышленники использовали не созданные «с нуля» и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям.
Один из подобных сайтов – «медкнижка-тверь.рф» появился весной 2019 г. для рекламы медицинских услуг, однако уже в августе этого года весь легальный контент был удален, зато на сайте появилось объявление о несуществующей акции от лица одного из крупных российских банков: за прохождение опроса пользователям обещали 2020 руб. Пользователь, отвечая на несложные вопросы, в конце должен был ввести данные банковской карты и CVCCVV якобы для перевода ему денег.
Вводило в заблуждение то, что доменное имя ресурса было вполне легальным и было оплачено до мая 2021 г., но у владельца истек срок действия хостинг-аккаунта, и этим воспользовались злоумышленники (сайт был заблокирован CERT-GIB).
Обнаружив несколько сотен подобных фишинговых ресурсов на легальных доменах, специалисты Group-IB установили, как действовала схема «угона» домена. Жертвами становятся владельцы тех доменных имен, которые оплачены и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту. Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура «перехвата» занимает от 30 мин до нескольких часов.
После этих манипуляций угонщики могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для финансового мошенничества: кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта банковскими троянами, программами-шпионами, вирусами-шифровальщиками (атаки типа watering hole).
Проверив с помощью системы Group-IB Threat Intelligence выборку из 3,2 млн доменов у наиболее крупных российских и международных хостинг-провайдеров, эксперты выделили около 30 тыс. доменов, входящих в «группу риска». Как отмечают в CERT-GIB, опасность схемы заключается в том, что она позволяет размещать чужой контент на домене без ведома владельца и без уведомления со стороны хостинг-провайдера.
Чтобы избежать «угона» своего домена, специалисты CERT-GIB рекомендуют следующие процедуры. Если срок оплаты хостинг-аккаунта подходит к концу и продлевать его никто не планирует, следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени. В группе риска также находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.