О мошеннике
Схема классическая: размещается объявление о посуточной аренде на разных площадках, во время общения "клиент" переводится в WhatsApp, где по итогу общения присылается фишинговая ссылка "на оплату" (на самом деле для кражи реквизитов банковской карты и смены телефона в онлайн-банке).Эта статья не про схему мошенничества, поэтому более подробно со схемой этого мошенника можно ознакомится по ссылкам: раз и два.
Также дам ссылки на примеры фишинговых страниц:
Фишинг под ostrovok.ru:
Фишинг под tvil.ru:
Заявка на бронь 1294537
web.archive.org
Фишинг под housinganywhere.com:
HousingAnywhere: Mid to Long-Term Rentals in 400+ cities
Rent your new home on HousingAnywhere, the leading accommodation marketplace for internationals.
web.archive.org
HousingAnywhere: Mid to Long-Term Rentals in 400+ cities
Rent your new home on HousingAnywhere, the leading accommodation marketplace for internationals.
web.archive.org
Основная проблема данного типа фишинга - это сложность получения адреса фишинговой страницы на следующих доменах, т.к. адреса делаются под "клиента". Поэтому здесь для блокировки упор делается на то, чтобы доказать, что это тот же сайт, только на новом домене, что достаточно просто сделать используя архивные фишинговые страницы на archive.org, но не у всех регистраторов и хостеров есть желание видеть очевидное даже с подробными инструкциями.
Для желающих попрактиковаться в верификации - сайт сейчас находится на домене tvil.179462.ru (сервер по адресу 178.159.42.121).
О блокировке
Далее перейдем непосредственно к блокировке, которая складывается из блокировки домена и блокировки хостинга.Блокировка домена
Сразу стоит сказать, что быстро заблокировать домен практически не реально. Также блокировка доменов в национальных доменных зонах в России и в международных доменных зонах сильно отличается.Национальные доменные зоны .ru, .рф и .su.
Для этих зон у регистратора есть только одно основание заблокировать домен "самостоятельно и незамедлительно" - в случае выявления недостоверности регистрационных данных. Как правило регистраторы не хотят ничего проверять и брать на себя какую-либо ответственность и отправляют в "Доменный патруль" (https://tldpatrol.ru/). В моём случае был только один регистратор, который после получения уведомления от "компетентной организации" по первому домену мошенника - по следующим 6-ти доменам сам проверил регистрационные данные и заблокировал домены.Однако здесь стоит отметить, что для этих зон если регистратору пришло уведомление через ИС "Доменный патруль", то он обязан заблокировать домен. Эта обязанность прописана в правилах. Для международных зон такого нет, но об этом ниже.
Фишингом в "Доменном патруле" реально занимаются только 3 организации: F.A.C.C.T.(бывшая Group-IB), BI.ZONE и НКЦКИ. Пробовал писать в другие организации, у которых "фишинг" есть в описании, но ответов не получил, также как и действий.
Через F.A.C.C.T. удалось заблокировать только несколько доменов - в какой-то момент ответы перестали приходить (кроме отбивки с присвоением номера заявке), также перестали предприниматься действия.
Последнее письмо от BI.ZONE на скриншоте:
Письмо от BI.ZONE
НКЦКИ осталась единственной организацией, через которую до сих пор получается блокировать домены мошенника.
После того, как уведомление отправлено регистратору через ИС "Доменный патруль" нужно чтобы до регистратора это уведомление дошло и он его обработал.
На практике бывают сбои с прохождением уведомлений. Также нет четких сроков обработки уведомлений регистраторами. Кто-то из регистраторов обрабатывает такие уведомления в приоритетном порядке, кто-то в общем и в итоге время блокировки домена растягивается. В моей практике дважды были задержки до недели - в первый раз из за перегрузки отдела регистратора, занимающегося жалобами; во второй раз из за технических проблем с приёмом уведомлений на стороне регистратора.
Международные доменные зоны
Здесь нет четких правил блокировки доменов и каждый регистратор сам принимает решение о блокировке. На практике это выливается в затягивание сроков, а иногда и вовсе в невозможность блокировки доменов.В случае, когда регистратор в России - можно попробовать написать в организацию "Доменного патруля", но не всегда и "компетентная организация" может помочь заблокировать домен.
Пара примеров из практики
Мошенник зарегистрировал пару доменов booking-partners.ru и booking-partners.online. На домене housinganywhere.booking-partners.online был размещён фишинговый сайт под housinganywhere.com. Все доказательства по сайту были направлены в "компетентную организацию", которая уже связывалась с регистратором. Регистратор заблокировал домен в зоне .ru (т.к. обязан это сделать по правилам), а по домену в зоне .online запустил процедуру верификации регистрационных данных (и это при рабочем сайте с доказательством фишинга через "компетентную организацию") и заблокировал домен только спустя почти 3 недели. Всё это время фишинговый сайт спокойно работал.
Другой пример более свежий. Мошенник у одного из регистраторов регистрирует домены также парой - в зоне .ru и в зоне .store. На домене в зоне .ru он размещает фишинговые сайты под tvil.ru, а на доменах в зоне .store изредка были сайты с фишингом под housinganywhere.com, но чаще мошенник их сразу не использовал.
Одно время регистратор одновременно с доменом в зоне .ru блокировал и домен в зоне .store, но с начала октября почему-то ситуация изменилась и регистратор начал требовать для рассмотрения вопроса о блокировке фишинговые страницы на этих доменах (на момент написания статьи таких доменов набралось уже 27). В итоге мошенник начал использовать домены в зоне .store для другого типа фишинга.
Например, возьмём домены i192856.ru и i192856.store.
i192856.ru использовался для фишинга под tvil.ru (сайт tvil.i192856.ru) и был заблокирован через "Доменный патруль". Проверить, то, что на этом домене был фишинг можно на сайте "Доменного патруля" (https://tldpatrol.ru/domain-security/) введя "i192856.ru".
i192856.store также используется для фишинга по данным Касперского (можно проверить на virustotal.com)
Эти домены регистрировались парой. Все данные есть у регистратора, но регистратор ничего не хочет предпринимать в отношении домена в зоне .store и настойчиво продолжает требовать фишинговую ссылку. Было предложение заблокировать домены через верификацию регистрационных данных - ответ на скриншоте.
Ответ от регистратора
Для меня возникает вопрос - что движет регистратором, что он не хочет видеть очевидное и держится за такого "клиента"?
В итоге на следующий день после выхода статьи Beget заблокировал все старые не заблокированные домены в зоне .store. Не знаю что послужило причиной - моё очередное письмо со списком доменов (писал его ещё до публикации статьи) или статья.
Блокировка хостинга
Здесь всё примерно также как с международными доменами. Единственная большая проблема - это то, что практически все хостеры пересылают жалобу в исходном виде мошеннику. Последствия могут быть в виде угроз (например, как на скриншоте ниже в виде фишингового письма), а также в изменении сайта, чтобы затруднить верификацию.Угроза от мошенника
Также здесь есть 2 варианта:
- когда IP-адрес сервера известен - выясняем на https://2ip.ru/whois/ кто хостер и отправляем письмо ему
- когда сервер скрыт за CloudFlare - нужно писать через форму https://abuse.cloudflare.com/
Ответ хостера
Потом мошенник спрятался за CloudFlare. Жалобы, посланные через форму должны пересылаться хостеру. Я, когда сам выяснял реального хостера, дважды уточнял, получал ли хостер жалобы, отправленные мной через CloudFlare и дважды получал отрицательный ответ. С чем связано такое отношение CloudFlare не понятно, т.к. достучаться до реальных людей там практически невозможно.
В итоге на текущий момент мошенник для хостинга использует zomro.com, где служба обработки жалоб прислала первый ответ спустя почти 2 недели и также требует действующую фишинговую ссылку на текущем домене для рассмотрения вопроса о блокировке сервера. Никакие другие доказательства рассматривать категорически не хотят. За это время на сервере побывал уже 21 домен (все были заблокированы).
Ниже скриншоты ответов от zomro.com.
Ответ zomro.com
Ответ zomro.com
Не знаю есть ли способы повлиять на таких хостеров и регистраторов. Возможно, у кого-то есть опыт в данной области и он сможет им поделится?
Дополнения
Пока статью доделывал и согласовывал произошли 2 события:- Мошенник сходил к другому хостеру и вернулся опять в zomro.com на другой сервер (почему бросил старый сервер не понятно). Написал им по новому серверу - посмотрим на реакцию.
- Beget заблокировал 3 домена в зоне .store из последних. Повторно написал им про другие домены - на следующий день (уже после публикации статьи) все старые домены были заблокированы.
Как некоторые хостеры и регистраторы доменных имён «помогают» бороться с мошенниками. Личный опыт
Началось всё с того, что в начале апреля при попытке снять квартиру наткнулся на фишингового мошенника и решил его заблокировать. В итоге всё это вылилось в почти годовое наблюдение, и блокировку 344...
habr.com