Jak uniknąć kradzieży domeny?

złodziej domen - jak uniknąć kradzieży domeny-min

Czy można ukraść domenę internetową? Być może się zdziwisz, ale tak. To przestępstwo nie należy do najczęstszych, ale się zdarza. Przykładowo, w 2015 roku ucierpiała firma sprzedająca okulary. W lipcu 2021 roku cyberprzestępca posłużył się przebiegłą metodą i ukradł domenę wykorzystując rynek wtórny domen. Przykłady szczegółowo opisaliśmy w tekście i chcemy, żeby posłużyły jako przestroga dla abonentów domen.

Jesteś ciekaw w jaki sposób cyberprzestępcy kradną domeny i jak można się przed tym zabezpieczyć? O tym poniżej. 

W jaki sposób można ukraść domenę internetową?

Kradzież domeny internetowej może odbyć się na dwa sposoby: 

  • Poprzez zmianę delegacji domeny, czyli przekierowanie jej na zewnętrzne serwery DNS. Do wykonania tej czynności mogą wystarczyć dane logowania do panelu administracyjnego domen. Zmieniając delegację można doprowadzić do przechwycenia ruchu e-mail oraz przekierowania domeny na fałszywą stronę na innym hostingu.
  • Poprzez wytransferowanie domeny, czyli przeniesienie jej obsługi do innego rejestratora. Oznacza ona całkowite przejęcie kontroli nad domeną.

U większości rejestratorów do transferu domeny internetowej potrzebne będą łącznie:

  • Dane logowania do panelu administracyjnego domen, czyli adres e-mail lub nazwa konta oraz hasło.
  • Kod authinfo – ciąg znaków umożliwiający dokonanie transferu domeny, czyli przeniesienie jej do innego rejestratora. Przeważnie kod uzyskać można po dodatkowej autoryzacji, np. wypełnieniu wniosku o wydanie kodu. Istnieją jednak wyjątki domen, które nie posiadają kodów authinfo jak np. brytyjskie “.uk”.
  • Dane logowania do skrzynki mailowej abonenta domeny, ponieważ to w to miejsce zazwyczaj przychodzi kod authinfo. Aczkolwiek kod authinfo może być udostępniany również bezpośrednio w panelu administracyjnym domen.

W 2015 roku ofiarą kradzieży padła domena shadesdaddy.com, na której sprzedawane są luksusowe okulary. Domena została skradziona przez cyberprzestępców z Chin i przekierowana na inną fałszywą stronę. Finalnie domena została odzyskana, ale złodzieje zdążyli w międzyczasie za jej pośrednictwem sprzedać setki podróbek produktów, co wpłynęło negatywnie na wizerunek firmy.

Kolejny przykład kradzieży domeny, która nastąpiła przy wykorzystaniu rynku wtórnego. W lipcu 2021 roku doszło do nieautoryzowanego transferu tilt.com. Cyberprzestępca zdołał ustalić, że należy ona do rejestrującego korzystającego z adresu e-mail w domenie crowdtilt.com, a dokładnie adresu e-mail tech@crowdtilt.com. Domena ta była jednak wystawiona na rynku wtórnym. Złodziej kupił ją za 17 000 dolarów, a następnie mając do niej pełny dostęp prawdopodobnie był w stanie wygenerować nowe hasło do panelu domen.

Jak zabezpieczyć się przed kradzieżą (nie tylko) domeny internetowej: 

1. Zwracaj uwagę na nazwę domeny serwisu, do którego się logujesz

Spójrz na poniższy zrzut ekranu. Czy dostrzegasz w nim coś niepokojącego?

phishing netflix a fałszywa domena i strona-min
Źródło: https://isc.sans.edu/diary/Secure+Phishing%3A+Netflix+Phishing+Goes+TLS/23786

Chodzi o fałszywy adres url w postaci “https://www.groupnetflixu.com/Login/” zamiast “https://www.netflix.com/Login/”. 

Do oryginalnej nazwy oszust dodał z przodu “group” i na końcu literę “u”. Pod tym adresem umieścił fałszywą stronę podobną do formularza logowania do Netflix.

To dobry przykład phishingu. Ten rodzaj oszustwa polegający na podszywaniu się pod istniejącą witrynę internetową w celu wyłudzenia poufnych danych i jest oparty na technikach inżynierii społecznej. Celem jest skłonienie do podjęcia błędnych decyzji przez użytkowników, manipulowanie nimi i nakłanianie ich do podjęcia działań przez które będą stratni. 

Na szanse powodzenia ataku wpływa m.in. jakość wykonania fałszywego portalu, dobranie podobnej nazwy domeny oraz zachęcenie do podjęcia dalszych działań, np. odpowiednio zatytułowany e-mail z przemyślaną treścią, ładne grafiki i inne skuteczne “wabiki”. Na przykładzie Netflixa oszust posłużył się nazwą bardzo zbliżoną do oryginalnej. 

Cyberprzestępca mógłby wysłać fałszywą wiadomość do potencjalnych abonentów serwisu Domeny.tv, np. o nowej ofercie związanej z naszymi usługami z innej domeny. W treści mógłby umieścić linki do fałszywej domeny. Nazwa nadawcy mogłaby się różnić od oryginalnej, jednak być na tyle podobna, że na pierwszy rzut oka łatwo można pomylić ją z oryginalną.

Część osób może nie zwrócić uwagi, że pod linkiem kryje się fałszywie stworzony portal. Oczywiście nazwa adresata również różniłaby się od tej oryginalnej, ale alfabety wszystkich języków świata są na tyle złożone, że istnieje możliwość rejestracji analogicznej nazwy, która będzie wyglądać podobnie.

Popularne sposoby podszywania się pod domeny to dodawanie pojedynczych i podobnie wyglądających liter, np. ḁ zamiast a, które wyglądają bardzo podobnie, jednak pochodzą z różnych alfabetów. 

Przykładem użycia podobnie wyglądającej litery była rejestracja domeny lọt.com i umieszczenie tam fałszywego portalu sprzedaży biletów lotniczych. Środkowa litera to “o” z kropką na dole, która stanowi znak alfabetu łacińskiego w języku igbo.

Inne metody to dublowanie liter koło siebie lub dodawanie wyrazów typu: delivery, wysylki, przesylki marketplace, 24, zakupy itp. Przykładem portalu pod który złodzieje często się podszywają jest OLX. O nieuczciwych pomysłach przez, które wiele osób straciło swoje pieniądze poczytasz na ich blogu. Dlatego zawsze patrz uważnie na adres URL witryny, ponieważ może Cię to uchronić przed potencjalnym oszustwem. 

phishing olx falszywa strona-min
Źródło: https://blog.olx.pl/2020/06/18/uwaga-na-phishing/

phishking oszustwo allegro-min
Źródło: https://www.facebook.com/CERT.Polska/photos/a.238552142831850/3535611419792556

2. Unikaj logowania się do otwartych sieci Wi-Fi i korzystania z kont na publicznych urządzeniach

Być może logowałeś się kiedyś do otwartej sieci Wi-Fi, czyli takiej, gdzie do zalogowania nie potrzeba hasła. Takie sieci można spotkać np. na lotniskach czy galeriach handlowych. Odradzamy takie próby połączeń, a w szczególności dalsze logowanie się do prywatnych kont, w tym panelu administracyjnego domen. Musisz być świadomy, że może to być hotspot stworzony specjalnie do kradzieży danych. 

Tworząc sieć Wi-Fi można z łatwością zatytułować ją nazwą lotniska czy galerii handlowej. Jeśli zalogujesz się do sieci stworzonej przez cyberprzestępcę, będzie on w stanie podejrzeć informacje przesyłane między Twoim urządzeniem a odwiedzanymi stronami, które nie będą szyfrowane np. protokołem HTTPS przy użyciu certyfikatu SSL. Dzieje się tak ponieważ złodzieje stają się pośrednikami pomiędzy siecią a urządzeniem. 

Podobna zasada tyczy się logowania do prywatnych kont na publicznych, nieznanych urządzeniach np. w bibliotece, kawiarence internetowej, punkcie ksero. Takie obiekty mogą korzystać z zaufanych sieci Wi-Fi, jednak mogą nie mieć pełnej kontroli nad osobami, które je odwiedzają. Wystarczy zainfekowanie przez cyberprzestępce urządzenia niewykrywalnym, złośliwym oprogramowaniem, np. keyloggerem, który będzie rejestrował wpisywane znaki przez użytkowników sprzętu.

kradzież domeny logowanie do sieci publicznej-min

3, Używaj różnych haseł

Stosowanie wszędzie jednego hasła jest na pewno wygodnym rozwiązaniem, ale wiąże się z tym spore niebezpieczeństwo. W przypadku wycieku Twoich danych logowania z jednej strony internetowej, cyberprzestępca zapewne spróbuje użyć ich w innych miejscach. Tym samym istnieje ryzyko, że złodziej metodą prób i błędów zaloguje się w końcu do Twoich innych usług. Wydaje ci się, że jest to mało realne? To może przekona Cię informacja z niebezpiecznik.pl, która mówi o zbiorczym wycieku blisko 21 milionów haseł, pochodzących z ponad 2000 serwisów.

Jeśli obawiasz się, że nie dasz rady zapamiętać tych wszystkich haseł, to możesz posłużyć się dedykowanym oprogramowaniem, np. Password Safe, KeyPass, LastPass, służącym do bezpiecznego gromadzenia haseł i ich przechowywania. Programy dostępne są zarówno dla komputerów jak i smartfonów. 

Jeśli zastanawiasz się, czy mogło kiedyś dojść do wycieku Twoich danych i czy istnieje ryzyko, że nieuprawniona osoba zna Twoje hasło, to jest sposób żeby to zweryfikować. Możesz posłużyć się stroną haveibeenpwned.com. Dzięki niej sprawdzisz, czy używany e-mail lub numer telefonu nie znajduje się w serwisie, który padł ofiarą złodziei.

4. Włącz uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe (2FA) to sposób ochrony dostępu do Twojego konta, np. panelu administracyjnego domen, przed osobami, które w nieuprawniony sposób mogły zdobyć identyfikator użytkownika i hasło. Uwierzytelnianie dwuskładnikowe polega na dodatkowym etapie weryfikacji, czyli podaniu specjalnego kodu, który wysyłany jest np. na zewnętrzne urządzenie typu smartfon lub na przypisany wcześniej adres e-mail. 

W serwisie Domeny.tv umożliwiamy dwustopniową weryfikację przy użyciu zewnętrznego mechanizmu Google Authenticator. Proces działa na zasadzie generowania kodu o krótkim czasie ważności w aplikacji smartfona, który należy przepisać do okna logowania panelu administracyjnego. Instrukcję jak skonfigurować Google Authenticator z kontem Domeny.tv znajdziesz w poradniku:

5. Zabezpiecz domenę usługą Registry Lock lub Registrar Lock

Usługa Registry Lock zabezpiecza domeny przed nieuprawnionym dostępem osób trzecich i przypadkowymi modyfikacjami. Dzięki Registry Lock uniemożliwisz m.in. zmianę abonenta, transfer do innego rejestratora, czy też usunięcie domeny. Zabezpieczenie odbywa się na poziomie rejestru (jednostki zarządzającej daną domeną), przez co uzyskujesz skuteczną ochronę przed wprowadzeniem niekorzystnych zmian. W Domeny.tv usługa dostępna jest wyłącznie dla domen .pl i .eu. Można ją dezaktywować w dowolnym momencie jednak w przypadku .pl jej ponowne uruchomienie związane będzie z kolejną aktywacją. W przypadku .eu można skorzystać z czasowego zniesienia blokady.

Podobnym rozwiązaniem jest skorzystanie z usługi Registrar Lock. To również opcja działająca na poziomie rejestru, zapobiegająca nieautoryzowanym lub przypadkowym modyfikacją domeny. Registrar Lock jest darmowe i działa dla domen globalnych oraz nowych.

Warto zaznaczyć, że dodatkowo, niezależnie od rejestratora, blokada transferu takich domen nakładana jest zawsze, niezależnie od usługi Registrar Lock na 60 dni od momentu rejestracji, ostatniego transferu lub cesji i nie ma możliwości jej wcześniejszego dezaktywowania. 

W celu sprawdzenia, czy domena posiada włączoną opcję Registrar Lock można posłużyć się bazą WHOIS, wpisać nazwę domeny i wyszukać pozycję “Domain Status: clientTransferProhibited”. O statusach domen dowiesz się więcej z tego artykułu

Blokując domenę na poziomie rejestru nie doszłoby kradzieży domeny tilt.com, o której piszemy wyżej. Ponadto w połączeniu z włączonym uwierzytelnianiem dwuskładnikowym, złodziej prawdopodobnie nigdy nie zalogowałby się do panelu administracyjnego domen.

6. Dokładnie weryfikuj rejestratora domen i sprawdzaj, jakie warunki bezpieczeństwa oferuje

Nie rejestruj swojej nazwy domeny u pierwszego lepszego rejestratora. Zamiast tego poczytaj w Internecie opinie o danym rejestratorze i sprawdź jakie warunki bezpieczeństwa oferuje.

Rejestratorzy domen powinni być w stanie zapewnić więcej niż tylko rejestracje, odnowienia i transfery. Poszukaj rejestratora, który oferuje komplementarne usługi, np. certyfikaty SSL, czy hosting. Dobry rejestrator umożliwi również wiele metod kontaktu.

Sprawdź jakie formalności wymagane są do transferu domeny. Godny zaufania rejestrator powinien bezwzględnie wymagać dodatkowej autoryzacji przy pobraniu kodu authinfo. W Domeny.tv takim rozwiązaniem jest wypełnienie wniosku o wydanie kodu authinfo lub też wniosku o przydzielenie dodatkowego hasła do autoryzacji. Istotny jest tu rozsądny kompromis między bezpieczeństwem a wygodą. Kody dostępne bezpośrednio w panelu są wygodne, ale dyskwalifikują rejestratora jako bezpiecznego dostawcę usług. Z drugiej strony procedura wydawania kodu authinfo, nie powinna być związana ze zbyt dużymi formalnościami (utrudniającymi transfer domeny) typu wymóg prowadzenia korespondencji pocztą tradycyjną. 

Jeśli zastanawiasz się, jakie warunki powinien spełniać godny polecenia rejestrator, poczytaj, jak dbamy o bezpieczeństwo domen w Domeny.tv.

7. Nigdy nie udostępniaj swoich danych logowania i zachowaj ich prywatność

Chroń swoje dane logowania do panelu administracyjnego domen, w taki sam sposób, jak chronisz dane logowania do banków. Nigdy i nikomu nie podawaj swoich danych logowania. Nawet jeśli w pełni zabezpieczyłeś się przed potencjalnymi atakami z zewnątrz, to nie masz pewności czy druga osoba zrobiła to samo.

nigdy nie udostępniaj swojego hasła-min

8. Aktualizuj dane kontaktowe w systemie

Zawsze aktualizuj dane kontaktowe w systemie, gdy dojdzie do ich zmiany, np. w wyniku zmiany adresu zamieszkania lub siedziby czy zmiany osoby odpowiedzialnej za administrację domen w Twojej firmie. Szczególnie istotna jest aktualizacja numeru telefonu i adresu e-mail, ponieważ za pośrednictwem tych danych rejestrator może próbować skontaktować się z Tobą, jeśli wykryje podejrzaną aktywność związaną z Twoim kontem. 

Co zrobić gdy nieuprawniona osoba uzyska dostęp do panelu administracyjnego domeny i np. zmieni ustawienia DNS?

Jeżeli zauważysz, że nieuprawniona osoba uzyskała dostęp do Twojego panelu domen, np. po zweryfikowaniu ostatniej (nieautoryzowanej) godziny logowania do konta, to niezwłocznie poinformuj o tym swojego rejestratora. Powinien on wiedzieć co robić w takich chwilach i podjąć stosowne działania. 

domenytv jak sprawdzic ostatnia godzine logowania-min

Zmień swoje hasło do konta domen, konta e-mailowego powiązanego z panelem domen i ewentualnie konta hostingowego.

W Domeny.tv posiadamy opracowane procedury bezpieczeństwa, które minimalizują konsekwencje wtargnięcia na konto, jednak musisz pamiętać o jak najszybszym powiadomieniu nas o całym zajściu. 

Co zrobić gdy dojdzie do nieuprawnionego transferu domeny internetowej?

Jeśli Twoja domena zniknęła z panelu Twojego rejestratora, nie musi to oznaczać jej kradzieży. Może wygasła z powodu przeoczenia czy braku opłaty, może znajduje się na innym koncie u tego samego rejestratora lub też z jakiegoś powodu jest zawieszona. Pomocny będzie szybki kontakt z obsługą klienta Twojego rejestratora.

Warto samodzielnie sprawdzić informacje o domenie w bazie WHOIS. Zakres udostępnianych danych zależy od polityki danego rejestru oraz typu abonenta. Najczęściej dane abonenta nie będą dostępne publicznie. Sprawdzisz jednak, do kiedy domena jest ważna i kto jest aktualnie jej rejestratorem. Czy domena po prostu wygasła? Jeśli do tego nie doszło, a w bazie WHOIS widzisz nieznanego Ci rejestratora, jak najszybciej skontaktuj się z dotychczasowym rejestratorem, u którego utrzymywana była Twoja domena.

Powinieneś uzyskać informację, co się z domeną działo, czy i kiedy nastąpił jej transfer, oraz jak został autoryzowany. Informacje te będą niezmiernie cenne dla szans powodzenia prób odzyskania domeny. Jeśli przypuszczenia o nieautoryzowanym transferze się potwierdzą, zgłoś się również do nowego rejestratora i poinformuj go o tym fakcie. Celem powinna być blokada dalszych działań na danej domenie, aby móc wyjaśnić powstałe wątpliwości. Na tym etapie warto również skorzystać z pomocy prawnej.

Podsumowanie – Jak uniknąć kradzieży domeny?

Kradzież domeny to proceder, który może przytrafić się każdemu, kto nie zachowuje podstawowych zasad bezpieczeństwa. Przede wszystkim unikaj logowania się do swoich kont na publicznie dostępnych urządzeniach, do których każdy ma dostęp. Nie loguj się do otwartych sieci Wi-Fi, ponieważ mogą to być sieci utworzone specjalnie do przechwytywania poufnych danych. Nigdy i w żaden sposób nie wysyłaj osobom trzecim danych do logowania.

Czasami pomimo zachowania podstawowych zasad bezpieczeństwa, może dojść do działań niezależnych od Ciebie, czyli do wycieku danych serwisu, z którego korzystasz. W związku z tym warto, żebyś na swoich kontach używał różnych haseł. Ponadto dobrze wdrożyć podwójną autoryzację, jeśli dany serwis oferuje taką możliwość. 

Pamiętaj o aktualizacji danych na koncie, ponieważ użyjemy ich do kontaktu, jeżeli zauważymy podejrzane działania związane z Twoją domeną. 

Jeśli zauważysz, że nieuprawniona osoba wtargnęła na Twoje konto domen, niezwłocznie poinformuj o tym swojego rejestratora. W przypadku kradzieży domeny poproś go o pomoc i zgłoś sytuację do rejestru. Możesz również rozważyć odzyskanie domeny na drodze sądowej.

A czy Ty zabezpieczyłeś się już przed kradzieżą domeny?

Podobał Ci się artykuł? Udostępnij

Wypełnij formularz, aby otrzymać Domenowy Niezbędnik

* Zapisując się do newslettera, wyrażasz zgodę na przesyłanie Ci informacji o nowościach, promocjach, produktach i usługach firmy Domeny.tv. Zgodę możesz w każdej chwili wycofać, a szczegóły związane z przetwarzaniem Twoich danych osobowych znajdziesz w polityce prywatności.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *