Jak uchronić się przed porwaniem domeny internetowej?

Internetowi oszuści stosują coraz bardziej wyrafinowane metody ataków. Jedną z nich jest porwanie domeny internetowej. Czym właściwie jest porwanie domeny internetowej? Jak dochodzi do takiego przejęcia? Kto może być ofiarą? Jakie mogą być skutki działań cyberprzestępców i jak ochronić swoją domenę?

Jak uchronić się przed porwaniem domeny internetowej?

Czym jest porwanie domeny internetowej i jak do tego dochodzi?

Porwanie domeny internetowej (ang. domain hijacking) to przejęcie kontroli administracyjnej nad domeną. Porwanie takie może prowadzić np. do wskazania innych serwerów obsługujących daną domenę przez osobę nieupoważnioną, mającą dostęp np. do panelu klienta rejestratora lub adresu e-mail abonenta domeny będącej przedmiotem ataku. Konta e-mail oraz strony internetowe abonenta mogą zostać przekierowane na inną lokalizację, dając przestępcom możliwość dowolnego zarządzania znajdującą się tam treścią, przejmowania danych dostępowych czy infekowania urządzeń użytkowników złośliwym oprogramowaniem. Działania takie zwykle mają na celu wyrządzenie bezpośredniej lub pośredniej szkody abonentowi domeny, jego klientom oraz partnerom.

Kto może być celem ataku?

Wszędzie tam gdzie internetowi oszuści widzą potencjalne źródło zarobku, istnieje niebezpieczeństwo cyberataku. Pod lupą hackerów są więc np. instytucje finansowe i sklepy internetowe, co nie oznacza, że firmy z innych branż nie powinny spodziewać się cyberataku. Poprzez przejęcie domeny można również skompromitować firmę i w ten sposób narazić ją na poważne straty zarówno wizerunkowe jak i w następstwie finansowe. Zagrożone jest każde przedsiębiorstwo, niezależnie od branży.

W ostatnich latach tysiące domen internetowych, należących do setek firm zostało porwanych. Wśród ofiar ataków znalazły się m.in. Mastercard, ING Bank, McDonald’s, Amazon, Hilton czy Massachusetts Institute of Technology. Szczególnie spektakularnym przypadkiem było porwanie domen jednego z największych banków w Brazylii. Przejęcie sieciowej działalności operacyjnej banku umożliwiło porywaczom przechwycenie transakcji bankomatowych, transakcji w punktach handlowych oraz przejęcie loginów i haseł oraz wiadomości email i list kontaktowych firmy. Należy pamiętać, że celem ataku nie musi być główna domena firmy, ale również inna poboczna, wykorzystywana do zarówno zewnętrznych jak i wewnętrznych działań operacyjnych firmy.

Skutki przejęcia domeny internetowej.

Oszuści po przejęciu domeny internetowej podszywają się pod prawdziwego usługodawcę – wysyłają emaile-pułapki, zmieniają zawartość stron internetowych. W przypadku porwania domeny nazwa jest identyczna, więc ofiarą oszustwa może zostać nawet najbardziej ostrożny klient. W ten sposób można sprawić, że np. klienci banku, nieświadomi zagrożenia, logują się na stronie, udostępniając złodziejom swoje dane autoryzacyjne, a klienci sklepu przelewają środki na konto podstawione przez cyberprzestępców. Popularne strony mogą też w ten sposób stać się źródłem rozpowszechniania złośliwego oprogramowania.

Bywa, że takie ataki mogą być również wynikiem działań nieuczciwej konkurencji. Nie chodzi jednak o używanie domeny podobnej do domeny konkurenta zawierającej literówkę w nazwie (ang. typosquatting), czyli o celowe wprowadzenie w błąd użytkowników konkurencji i przekierowanie ich na własną stronę. W przypadku porwania domeny, można sobie wyobrazić, że nieuczciwa firma konkurencji nielegalnie przejmuje domenę np. firmy farmaceutycznej lub innej i na stronie internetowej publikuje np. informację o szkodliwości jednego z leków lub innego produktu i wycofaniu go z rynku. Konsekwencje mogą okazać się dla firmy katastrofalne.

Jak zabezpieczyć się przed porwaniem domeny?

Abonenci domen internetowych powinni zwrócić uwagę przede wszystkim na bezpieczeństwo panelu zarządzania. Zdaniem ekspertów panel jest często słabym ogniwem w zabezpieczeniach domeny, a precyzyjniej, osoby uprawnione do zarządzania w panelu domenami. Nie powinny one dzielić się danymi dostępowymi z innymi osobami, a ponadto powinny zawsze logować się na zaufanych komputerach, nienarażonych na zainfekowanie szkodliwym oprogramowaniem, pamiętać o prawidłowym zakończeniu sesji i szczególnie uważać na próby wyłudzenia danych do logowania (ang. phishing), np. poprzez fałszywe wiadomości email. Niestety nawet najbardziej świadomy cyberzagrożeń przedsiębiorca nie powinien także lekceważyć faktu, że sfrustrowani lub nieuczciwi pracownicy stanowią również źródło wycieku informacji dostępowych do panelu zarządzania domenami.

Istnieją rozwiązania pozwalające zwiększyć ochronę domen przed niebezpieczeństwem porwania. Jednym z nich jest .pl Registry Lock – usługa zapewniająca dodatkową ochronę poprzez wieloetapową autoryzację, aby chronić domenę internetową przed nieuprawnionymi bądź przypadkowymi zmianami administracyjnymi, próbą usunięcia lub przejęcia domeny, np. w wyniku cyberataku, błędu lub nielegalnych działań strony trzeciej. Usługa .pl Registry Lock aktywowana jest na najwyższym poziomie, tj. na poziomie Rejestru domeny krajowej .pl. Uaktywniona usługa uniemożliwia m.in. zmianę delegacji domeny z poziomu panelu klienta u rejestratora, a w rezultacie zabezpiecza domenę przed nieautoryzowanym przejęciem. Blokada ta może być w każdej chwili dezaktywowana w rejestrze na wniosek uprawnionego rejestratora, który obsługuje domenę i ponownie uruchomiona po wykonaniu autoryzowanych zmian zleconych przez abonenta.

Abonent zainteresowany objęciem swojej domeny ochroną .pl Registry Lock składa odpowiednią dyspozycję u swojego rejestratora. Rejestrator wnioskuje do rejestru o aktywowanie usługi na wskazanej przez abonenta nazwie domeny poprzez wieloetapową procedurę uwierzytelniającą. Uruchomienie usługi jak również dezaktywacja .pl Registry Lock zostają potwierdzone wiadomością elektroniczną wysyłaną przez rejestr na adres email abonenta.

.pl Registry Lock to usługa skierowana do świadomego i wymagającego abonenta, dla którego gwarancja bezpieczeństwa i stabilności posiadanych oraz utrzymywanych zasobów ma kluczowe i strategiczne znaczenie. W szczególności dotyczy to przedsiębiorstw sektora finansowego, ubezpieczeniowego, dużych korporacji oraz mediów, które są zainteresowane podnoszeniem poziomu bezpieczeństwa usług świadczonych w Internecie oraz podniesienia poziomu ochrony informacji. Z racji przepływu informacji na temat kont bankowych, kart kredytowych i innych form płatności, nowa usługa Rejestru domeny .pl jest szczególnie rekomendowana także branży e-commerce.

NASK uruchomił usługę o nazwie .pl Registry Lock w marcu 2019 roku. Obecnie oferuje ją ponad 20 rejestratorów domeny .pl.

Lista rejestratorów świadczących usługę .pl Registry Lock: https://dns.pl/rejestratorzy

Więcej informacji na temat .pl Registry Lock: https://dns.pl/registry-lock

Autor: Tomasz Szladowski - Specjalista ds. Marketingu, Rejestr domeny .pl, NASK