МОСКВА, 19 ноя — ПРАЙМ. Мошенники стали чаще "угонять" легальные домены в зонах.RU,.SU и.РФ для проведения фишинговых атак, в группе риска находятся минимум 30 500 доменов международных и российских хостинг-провайдеров, говорится в сообщении компании Group-IB, специализирующейся на предотвращении кибератак.
Так, весной 2019 года появился сайт медкнижка-тверь.рф для рекламы медицинских услуг, однако в августе 2020 года, как отмечает Group-IB, на сайте появилось объявление о несуществующей акции от лица одного из российских банков: за прохождение опроса пользователям обещали 2020 рублей. Опрос предполагал, что в конце пользователь введет данные банковской карты и CVC\CVV якобы для перевода ему денег.
Имя ресурса было легальным и было оплачено до мая 2021 года, но у владельца истек срок действия хостинг-аккаунта, и этим воспользовались злоумышленники. Опасный сайт был заблокирован CERT-GIB.
"Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты Group-IB установили, как действовала схема "угона" домена. Жертвами становятся владельцы тех доменных имен, которые хотя и оплачены и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту. Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура "перехвата" занимает от 30 минут до нескольких часов", — пишут они.
После "угонщики" могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для финансового мошенничества — кражи денег и данных банковских карт, рассылки писем с вредоносным вложением или для заражения посетителей скомпрометированного сайта банковскими троянами, программами-шпионами, вирусами-шифровальщиками.
"Проверив с помощью системы Group-IB Threat Intelligence выборку из 3,2 миллиона доменов у наиболее крупных российских и международных хостинг-провайдеров, эксперты выделили около 30 500, входящих в "группу риска" — тех, что злоумышленники без труда смогут "угнать", — говорится в сообщении.
"Опасность этой схемы заключается в том, что она позволяет размещать чужой контент на домене без ведома владельца и без какого-либо уведомления со стороны хостинг-провайдера. Мы предупредили о наличии подобной проблемы всех хостинг-провайдеров, у которых была обнаружена подобная уязвимость, региональные интернет-регистраторы. Предотвращение подобного захвата доменов, может привести к существенному сокращению фишингового контента, а также распространения вредоносных программ и спам-рассылок в интернете", — отметил руководитель Центра быстрого реагирования на инциденты кибербезопасности (CERT-GIB) Александр Калинин,