Domēnu vārdi “slikto zēnu” rokās (2. daļa)

Sliktie-zeni-002

Cilvēkiem ar labu izdomu datortīkli dod negaidītas iespējas gūt peļņu. Un domēna vārdi nav nekāds izņēmums – tos var izmantot dažādām peļņu nesošām manipulācijām. Jau pašā domēna vārdu reģistrācijas sākumā bija attapīgi cilvēki, kas sev rezervēja tos domēna vārdus, kuri tiem likās ļoti perspektīvi, ar cerību tos vēlāk pārdot citiem. Tāda darbošanās nav nelikumīga, un laika gaitā šādu domēna vārdu sagrābēju jeb tupētāju (domain squatters) savairojās diezgan daudz. Viņi ir rezervējuši sev daudzus interesantus domēna vārdus, un reģistri pret šādu darbošanos neiebilst, jo daudziem no viņiem (jo īpaši jaunajiem TLD) tā nodrošina labu daļu no ienākumiem. Rezultātā ir izveidojusies domēna vārdu industrija, kur pērk un pārdod labus domēna vārdus. Bet dažiem, kam nav, ko pārdot, var ienākt prātā ideja “nozagt” perspektīvu domēna vārdu.

Publicējam otro daļu rakstamDomēnu vārdi “slikto zēnu” rokās(kura pirmo daļu var lasīt te). 

Domēnu vārdi sociālā inženierijā

Interneta lietotāju apkrāpšana, izmantojot sociālo inženieriju, vienmēr tiek nodrošināta ar noderīgiem domēnu vārdiem. Jau iepriekš aplūkotajā domēna vārdu “zādzību” gadījumā laba domēna vārda lietotājam it kā no reģistratūras var atnākt e-pasta vēstule ar lūgumu steidzami pārbaudīt sava domēna datus vai veikt kādu citu darbību, kas prasa pieslēgšanos pie domēna vārdu datu bāzes. Šī vēstule būs nosūtīta no adreses, kas būs ārkārtīgi līdzīga īstajai reģistratūras adresei. Skaidrs, ka pieslēdzoties visi ievadīties dati un paroles tiks nosūtīti domēna vārda kārotājam, un domēna vārds tiks “nozagts”.

2016. gadā naktī no 14. uz 15. martu Krievijas domēna vārdu reģistratūra reg.ru reģistrēja domēna vārdu fincert.net. Varbūt dienas laikā reģistratūra būtu pamanījusi, ka šis domēna vārds aizdomīgi atgādina nesen nodibināto Krievijas Centrālās Bankas struktūrvienību FinCERT, kura nodarbojas ar tīklu drošību finanšu un banku sfērā, bet naktī neviens par to neuztraucās. Nākamajā dienā daudzas Krievijas bankas saņēma vēstuli it kā no šīs pašas FinCERT ar informācijas failu, kurš skaidroja banku drošības problēmas. Adresāti tika pieklājīgi saukti vārdā un tēva vārdā, pievienotais fails bija ar nosaukumu, kurš atbilda īstā FinCERT dokumentu nosaukumu sistēmai, bet nosūtītāja e-pasta adrese nebija vis īstā fincert@cbr.ru, bet gan info@fincert.net. Kad pievienotais fails tika atvērts, datorā instalējās ļaunatūra, kas nodrošināja iespēju pārvaldīt šo datoru attālināti. Netiek atklāts, cik daudzas bankas šādu e-pastu saņēma un cik daudzās tika instalēta ļaunatūra.

Domēna vārdu līdziniekiem ir sava loma arī tādā noziegumā kā „viltus priekšnieka blēdība” (CEO scam), kad nozīmīgs uzņēmuma finanšu darbinieks saņem e-pastu no liela sava uzņēmuma priekšnieka ar lūgumu pārskaitīt krietnu summu svarīgam piegādātājam. Lieki teikt, ka šī ziņa ir viltota un priekšnieks nekādu rīkojumu nav devis. Pēc tam to finansistu no darba izmet, bet naudu parasti atpakaļ nedabū.

Amerikāņi apgalvo, ka tagad gada laikā viņu uzņēmumi tādā veidā zaudējot apmēram 800 miljonus. Cik nu pareiza ir šī lielā summa, grūti teikt, bet datortīklu kompānija Ubiquiti Networks, Inc. atzinās, ka 2015. gadā kompānijas finanšu departamentu blēži ir pārliecinājuši pārskaitīt no Honkongas filiāles uz citām ārzemju bankām (Ķīnā) 46,7 miljonus dolāru, kurus tagad mēģina atgūt tiesas ceļā.

Lai paveiktu šāda veida krāpšanu, iepriekš ir krietni jāsagatavojas. Jāizstudē uzņēmuma mājaslapa, jāuzzina, kā uzņēmumā ir organizēts darbs ar finansēm, kas ir kādā amatā, vai izmanto pārskaitījumus u.tml. Svarīgi ir arī zināt biznesa partnerus, iepirkšanās plānus, vadības vārdus, paradumus un ceļojumu plānus. Vajadzīgo informāciju krietni palīdz iegūt vienkāršs zvans uz upura uzņēmumu, piemēram, uzdodoties par kādu uzņēmuma partneri un saniknoti prasot, kāpēc nav pārskaitīta nauda. Sekretāre savienos ar finanšu grāmatvedi, tas stādīsies priekšā un paskaidros, ka tādu rīkojumu nav saņēmis. Kāpēc nav dots tāds rīkojums? Kas var dot tādu rīkojumu? Kā viņam piezvanīt? Atkal sociālā inženierija. Kā vienmēr daudz informācijas var salasīt no firmas darbinieku e-pastiem, ja ir tikts tiem klāt. Piemēram, ļoti vērtīga ir ziņa, ka uzņēmuma boss dodas komandējumā uz ārzemēm, jo tad finansists negribēs lieki traucēt savu bosu, prasot rīkojuma apstiprinājumu.

Protams, ir jāreģistrē domēna vārds, kas būtu uzņēmuma domēna vārda līdzinieks, turklāt šim līdziniekam ir jābūt arī vizuāli līdzīgam. Ja uzņēmumam Interlabumi ir domēna vārds Interlabumi.com, tad visvienkāršāk ir izmantot citus augstākā līmeņa domēnus. Tur varētu reģistrēt Interlabumi.shop, Interlabumi.biz, Interlabumi.co vai arī Interlabumi.net kā tas notika gadījumā ar Krievijas FinCERT. Viltīgāk būtu reģistrēt domēna vārdu Inter1abumi.com, kur burts ‘l’ nomainīts pret ciparu ‘1’, kurš daudzos fontos izskatās ārkārtīgi līdzīgi vai pat sakrīt ar burtu “l”. Tad vēstuli, nosūtītu no šāda līdzīga domēna, Interlabumi finansists var uztvert kā pilnīgi derīgu, jo, arī pārbaudot nosūtītāja adresi, nepamanīs atšķirību. Atbildes ziņojums par izpildīto naudas transakciju arī nonāks nevis īstajam priekšniekam, bet gan ļaundarim, kurš uzreiz varēs saņemto naudu nobēdzināt internetā vai izņemt no bankas, precīzāk, aizsūtīt konta īpašnieku bomzi to izdarīt.

Brīnišķīgas iespējas šādu viltīgu domēna vārdu veidošanā dod krievu burtu (kirilicas) izmantošana. Piemēram, neviens nepateiks, ka šajā domēna vārdā Intеrlаbumi.com burti ‘e’ un ‘a’ nav latīņu alfabēta burti, bet gan ir kirilicā, šim nolūkam būtu jāpārbauda UNICODE kodi. Vispār jau viltojumu var pamanīt, ja šo vārdu pārliek kādā eksotiskā fontā, piemēram, fontā Algerian tas izskatās tāIntеrlаbumi.com, un fontā Bradley Hand šādi – Intеrlаbumi.com (skatīt attēlu zemāk), bet kurš gan to darīs.

Fonti-kirilica

Tagad, kad ir ieviesti starptautiskie domēnu vārdi (IDN), tādu burtu miksli patiešām ir iespējams reģistrēt, kaut arī ne visi reģistri to ļauj. Domēna .com reģistra uzturētājs Verisign, Inc. acīmredzot ļauj domēna vārdos izmantot visdažādākos burtus vienlaicīgi. Piemēram, vietņu īpašnieki, kas izmantoja  Google servisu Google Analytics, 2016. gada  oktobrī sāka saņemt aicinājumus balsot par D.Trampu, kuri bija sūtīti no adreses secret.ɢoogle.com. Kaut arī šo domēnu pirmajā brīdī tiešām var saistīt ar Google, tomēr tā būs kļūda, jo vārdā ir izmantots nevis lielais burts ’G’ (Unicode kods – 0047) , bet gan mazais lielais ‘ɢ‘ (small capital letter). Šāds burts ar Unicode kodu 0262 ietilpst starptautiskajā fonētiskajā alfabētā (IPA) un, vispār runājot, nav piederīgs nevienai valodai. Jāpiebilst, ka domēnu serviss WHOIS (http://who.is) šo vārdu neatpazīst dēļ šī īpatnējā burta un tā vietā sameklē domēnu oogle.com, kurš acīmredzot ir taustiņkļūdu domēns, bet Verisign domēna vārdu meklētājs uzrāda gan ɢoogle.com, gan ɢoogle.net.

Pārlūkprogrammām šis domēns grūtības nesagādā, tās to atrod un tūlīt pāradresē pavisam uz citu vietni:

51-limenis

Tas iznāk 51. līmeņa domēns domēnam ilovevitaly.com!

Pirms kāda laika šajā vietnē esot bijis apsveikums visai amerikāņu tautai ar D.Trampa uzvaru vēlēšanās. Pašlaik tur šāda apsveikuma nav. Ir dažādu meklēšanas pakalpojumu piedāvājums un tiek apgalvots, ka esot izveidots tikai domēna vārds ilovevitaly.com, kā arī noliegts kaut kāds sakars ar Google Analytics saņemtajiem aicinājumiem balsot par Trampu.

Screen-002

Kā vietnes īpašnieks piesakās Vitālijs Popovs. Krievijas sociālajā tīklā VKontakte ir reģistrēti vairāk nekā 3700 Popovi Vitāliji. Bet domēna vārdu ilovevitaly.com tiešām ir reģistrējis kāds Vitālijs Popovs no Samāras. Nav ieteicams pieslēgties un mēģināt noskaidrot, vai tiešām šī vietne sniedz visus reklamētos pakalpojumus, jo pēc Google domām tā izplata arī ļaunatūru, tāpēc Google to sūdz tiesā. Visticamāk, ka drīz šī vietne tiks nobloķēta. Starp citu, pieslēgties nemaz tik viegli nav, jo ne visos datoros ir IPA alfabēts un ne visi mācēs uz to pārslēgties.

*** (Šī bija otrā daļa rakstam Domēnu vārdi “slikto zēnu” rokās”, kura pirmo daļu var lasīt te. Turpinājums sekos.)