Kā var nozagt tavu domēna vārdu?

ufo-1379888_1920

Domēna vārda nolaupīšana (domain name hijacking) ir prettiesiska domēna vārda kontroles pārņemšana no tā likumīgā lietotāja. Tā var radīt kaitējumu ne tikai lietotājam un mājas lapas īpašniekam, bet arī tā klientiem, biznesa partneriem, kā arī incidentā iesaistītām trešajām personām vai pakalpojuma sniedzējiem.

Ļaundara motīvs un mērķis ir galvenokārt ātri uzpelnīties, pārdodot jauniegūto domēna vārdu kādai trešajai personai vai izkrāpjot naudu no tā sākotnējā lietotāja. Tālāk pārdoto domēna vārdu ir ārkārtīgi grūti atgūt, jo labticīgais ieguvējs jutīsies pilnīgi likumīgi ticis pie šī vārda un par velti to neatdos, savukārt sākotnējais lietotājs nejutīs vajadzību segt radušos izdevumus.

Sekas kontroles zaudēšanai pār savu domēna vārdu var būt dažādas. Pat vienkārša tehnisko ierakstu maiņa var radīt ievērojamus zaudējumus un draudus uzņēmējdarbībai un uzņēmuma klientiem.

Iegūstot kontroli vai “noklausoties” e-pasta sarakstes, ļaundaris var uzzināt sensitīvu informāciju, kuru vēlāk izmantot komerciālai vai politiskai izspiegošanai. Ievietojot mājaslapā neglaimojošu saturu, izmantojot to ļaunatūras izplatīšanai vai klientu datu iegūšanai, ļaundaris var ne tikai būtiski ietekmēt zīmola reputāciju, bet arī nozagt identitāti un iegūt kontroli pār uzņēmuma darbinieku vai klientu finansiālajiem līdzekļiem.

Lai gan domēna vārdu nolaupīšana nav vienkāršs process, ir vairāki izplatīti veidi, kā uzbrucēji var iegūt sev nepieciešamo informāciju.

domena-vardu-nolaupisana-tabula

(Lai apskatītu tabulu ar domēna vārdu zagšanas piemēriem, lūdzu, spiediet uz attēla.)

“Spear phishing“ jeb “šķēpu pikšķerēšana”

Šī metode kļūst arvien populārāka, jo ir salīdzinoši lēta un ērta, lai nozagtu domēna vārda administrācijas paneļa piekļuves datus. Ļaundaris uzraksta domēna vārda lietotājam pārliecinošu e-pastu ar lūgumu steidzami pārbaudīt sava domēna vārda datus vai veikt kādu citu darbību, kas prasa pieslēgšanos pie datu bāzes, e-pastā iekļaujot saiti uz pikšķerēšanas vietni. Pieslēdzoties visi ievadītie dati un paroles tiek nosūtīt domēna vārda kārotājam.

Uzdošanās par domēna vārda turētāju, izmantojot viltotas pilnvaras

Ļaundari mēdz izmantot viltotus pa faksu vai pastu sūtītus pieprasījumus ar lūgumu mainīt domēna vārda turētāja informāciju. Atsevišķos gadījumos tiek pat nozagtas, kopētas vai pārveidotas oficiālās uzņēmuma veidlapas.

Administratīvās kontaktpersonas e-pasta adreses viltošana vai nolaupīšana

Ir vairākas metodes, ar kuru palīdzību var viltot vai sagrozīt e-pasta saraksti. Izplatīta uzbrukuma forma ir izsekot administratīvo kontaktpersonu e-pasta adreses, meklējot tādu, kurā iekļautais domēna vārda lietošanas tiesību periods drīzumā beigsies. Piemēram – domēna vārdam “manavietne.lv” administratīvās personas e-pasta adrese ir “admin@domenimi.lv”. Ļaundaris seko līdzi “domenimi.lv” lietošanas tiesību perioda beigām un, kad tas kļūst publiski pieejams, šo domēna vārdu piereģistrē uz sevi, vai arī kādu saistītu juridisku vai fizisku personu. Kad tas ir izdarīts, viņš izveido e-pasta adresi “admin@domenimi.lv” un vēršas no šī e-pasta pie domēnu vārdu reģistra (kurā reģistrēts kārotais domēna vārds “manavietne.lv”) ar lūgumu mainīt tā lietošanas tiesības. Šādi ļaundaris var uzdoties par vēlamā domēna vārda (manavietne.lv) administratīvo kontaktpersonu, pārņemot kontroli savās rokās.

Lai gan NIC nepublisko .LV domēna vārdu lietošanas tiesību perioda sākuma un beigu datumus, ir domēni, piemēram, .com, .net, par kuriem šī informācija tiek publiski norādīta WHOIS datos.

Ievainojamība reģistratūras pusē

Ja Reģistratūras pakalpojumu administrācijas panelis atļauj neierobežotu skaitu paroles mēģinājumu, ļaundaris, izmantojot pārlases uzbrukumu (brute-force), var to uzminēt. Ielogojoties vai uzlaužot sistēmu, uzbrucējs var nomainīt norādītos lietošanas tiesību turētāja datus, nomainīt administratīvās kontaktpersonas e-pasta adresi un arī paroli, ar kuru var pieslēgties īstais konta īpašnieks. Ļaundarim tik atliek pieprasīt domēna vārda Reģistratūras maiņu. Jaunajā Reģistratūrā neviens nebūs dzirdējis par sākotnējo domēna vārda lietošanas tiesību turētāju, kas krietni atvieglos šī domēna vārda notirgošanu.

Sociālā inženierija

Piekļūt Reģistratūras datu bāzei var arī to neuzlaužot, proti, uzdodoties par vēlamā domēna vārda lietotāju, mīļi palūgt šī domēna vārda nodošanu citai Reģistratūrai, kur ļaundaris jau būs likumīgs turētājs. Parasti gan lielākās Reģistratūrās šī pāreja tiek veikta automātiski (izmantojot speciālu autorizācijas kodu), līdz ar to šāda veida tautas apšmaukšanas metode, ko tagad sauc cēlā vārdā „sociālā inženierija”, nevar nostrādāt.