19 ноября 2020, 09:05

Group-IB выявила схему фишинга с использованием легальных доменов

По данным компании, порядка 30,5 тыс. доменов в мире находятся в группе риска

МОСКВА, 19 ноября. /ТАСС/. Специализирующаяся на предотвращении кибератак международная компания Group-IB сообщила о раскрытии схемы фишинга с использованием легальных доменов сайтов, порядка 30,5 тыс. доменов в мире находятся в группе риска. Об этом ТАСС сообщили в пресс-службе компании.

"Group-IB предупреждает об участившихся случаях воровства доменных имен. В "группе риска" у популярных международных и российских хостинг-провайдеров оказались как минимум 30 500 доменов. "Угнанные" ресурсы злоумышленники чаще всего используют для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей скомпрометированного сайта", - сообщили в пресс-службе.

О наличии подобной угрозы представители CERT-GIB сообщили на встрече Координационного Центра компетентных организаций и регистраторов доменов RU/РФ, а также оперативно оповестили об этом российских и международных хостинг-провайдеров, региональных интернет-регистраторов.

По данным компании, осенью этого года, исследуя многочисленные фишинговые сайты, аналитики Group-IB обратили внимание на любопытную деталь: злоумышленники использовали не созданные "с нуля" и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям. Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты Group-IB установили, как действовала схема "воровства" домена. Жертвами становятся владельцы тех доменных имен, которые хотя и оплачены, и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту.

Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура "перехвата" занимает от 30 минут до нескольких часов. После этих манипуляций злоумышленники могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для мошенничества.

Какие есть риски

Проверив с помощью системы Group-IB Threat Intelligence выборку из 3,2 млн доменов у наиболее крупных российских и международных хостинг-провайдеров, эксперты компании выделили около 30 500, входящих в "группу риска" - тех, что злоумышленники без труда смогут "своровать".

"Мы предупредили о наличии подобной проблемы всех хостинг-провайдеров, у которых была обнаружена подобная уязвимость, региональные интернет-регистраторы. Предотвращение подобного захвата доменов может привести к существенному сокращению фишингового контента, а также распространения вредоносных программ и спам-рассылок в интернете", - прокомментировал схему мошенничества руководитель CERT-GIB Александр Калинин.

Чтобы избежать "воровства" своего домена, специалисты CERT-GIB рекомендуют: если срок оплаты хостинг-аккаунта подходит к концу и продлевать его никто не планирует, следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени. В группе риска также находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.