Немало доменов из зоны .RU угнали
По словам провайдера хостинг-услуг Net Angels, немало доменных имен из зоны .RU оказалось «угнанными». Кстати, все они были зарегистрированными в RU-CENTER. Произошел данный инцидент с 3 по 6 июня. Именно в эти дни злоумышленники добились контроля над немалым количеством «рушек».
То, что произошло, конечно же, «навело шороху» в рядах хостинг-провайдеров. Ведь именно с их серверов улетучиваются каждый день десятки доменов, о чем свидетельствует сервис stat.nic.ru. Другими словами, разговор идет не о единицах, а о сотнях «угнанных» доменных имен.
Заметим, что схема недавно реализованного угона доменных имен неоднократно упоминалась на страницах интернет-сайтов. Однако в этом случае злоумышленники действовали несколько иначе. Итак, чтобы угнать домен, мошенник ищет имя, которое регистрировалось на почтовые ящики bk.ru или mail.ru. После этого просматривает список освобожденных адресов почтовых ящиков, регистрирует их на себя и запрашивает на сервисе nic.ru восстановление пароля на этот адрес электронной почты. Для nic.ru адрес электронки тот же, что и при регистрации домена. Поэтому проблем с восстановлением пароля у злоумышленника не возникает вообще.
Как только домен попадает в полное распоряжение мошенника, он заменяет его NS-ы на NS1. или NS2. В итоге имя домена получает вид ns1(2)домен.ru. А IP-адрес в подсети указывается как 62.122.75.0/24. Именно по этим признакам можно идентифицировать «угнанные» домены.
О том, что домен угнан, его настоящий владелец может даже не подозревать. Ведь NS-ы злоумышленников в первую очередь направляют запросы на сервера настоящего хостера. Но после этого трафик с такого «захваченного» домена в любой момент может быть переадресован на сайт злоумышленника.
Ситуация, которую мы описали, уже замечена некоторыми провайдерами. Многие из них уже известили владельцев доменов. Кроме того, хостеры, дабы предупредить утечку регистрационных данных администраторов и пользователей «захваченных» сайтов, перекрыли трафик с прокси-серверов.
Во всем случившемся примечателен тот факт, что на самом деле физически зафиксировать кражу доменов нельзя. Ведь они остаются при своих владельцах и никуда не денутся от них без оформления предусмотренных на передачу имен документов.
Кто виноват в случившемся? Ответ на этот вопрос ищут до сих пор… Можно сказать, что виноваты и владельцы доменов, так как именно они должны следить за регистрационными данными своих проектов. Можно сказать, что виноват и сервис Mail.ru, удаляющий неиспользуемые адреса и не ставящий в известность об этом их владельцев. И, можно сказать, что во всем случившемся есть и вина RU-CENTER. Ведь именно регистратор предоставляет своим клиентам возможность указывать при покупке доменов два name-сервера из одной подсети. А это зеленый свет для подобного злоупотребления. Пока что от RU-CENTER не поступало никаких комментариев по этому поводу.
Источник webplanet.ru.