Group-IB выявила схему фишинга с использованием легальных доменов
Специализирующаяся на предотвращении кибератак международная компания Group-IB сообщила о раскрытии схемы фишинга с использованием легальных доменов сайтов, порядка 30,5 тыс. доменов в мире находятся в группе риска. Об этом ТАСС сообщили в пресс-службе компании.
"Group-IB предупреждает об участившихся случаях воровства доменных имен. В "группе риска" у популярных международных и российских хостинг-провайдеров оказались как минимум 30 500 доменов. "Угнанные" ресурсы злоумышленники чаще всего используют для проведения фишинговых атак, финансового мошенничества, рассылки вредоносных программ или заражения посетителей скомпрометированного сайта", - сообщили в пресс-службе.
О наличии подобной угрозы представители CERT-GIB сообщили на встрече Координационного Центра компетентных организаций и регистраторов доменов RU/РФ, а также оперативно оповестили об этом российских и международных хостинг-провайдеров, региональных интернет-регистраторов.
По данным компании, осенью этого года, исследуя многочисленные фишинговые сайты, аналитики Group-IB обратили внимание на любопытную деталь: злоумышленники использовали не созданные "с нуля" и не взломанные ресурсы, а легитимные домены в зонах .RU, .SU и .РФ, принадлежащие как рядовым пользователям, так и компаниям. Обнаружив несколько сотен подобных фишинговых ресурсов, расположенных на легальных доменах, специалисты Group-IB установили, как действовала схема "воровства" домена. Жертвами становятся владельцы тех доменных имен, которые хотя и оплачены, и не заблокированы со стороны регистратора, но при этом не привязаны к хостинг-аккаунту.
Такое происходит в двух случаях: домен забыт или выкуплен совсем недавно. Злоумышленники ведут базу таких доменов и размещают свой контент на серверах интернет-провайдеров с использованием чужого домена. Вся процедура "перехвата" занимает от 30 минут до нескольких часов. После этих манипуляций злоумышленники могут разместить на захваченном сайте свой контент, чтобы использовать ресурс для мошенничества.
Чтобы избежать "воровства" своего домена, специалисты CERT-GIB рекомендуют: если срок оплаты хостинг-аккаунта подходит к концу и продлевать его никто не планирует, следует полностью удалить текущие NS-записи в личном кабинете регистратора доменного имени. В группе риска также находятся владельцы доменных имен, которые заранее прописывают в личном кабинете регистратора NS-записи хостинг-провайдера до привязки самого домена к хостинг-аккаунту.
Подробнее >>>
Источник: ТАСС