Jak uchronić się przed porwaniem domeny internetowej?

Ochrona domeny internetowej dla wielu firm wciąż jest ostatnią kwestią wartą uwagi. Przedsiębiorstwa potrafią przeznaczyć duże środki w strony internetowe, a zupełnie nie interesować się tym, że to wszystko przestanie mieć znaczenie jeśli domenę przejmie przestępca.

Świadome firmy inwestują w zabezpieczenia przed cyberatakami, chronią bazy danych, zapominając jednak czasem o zagrożeniach typu man-in-the-middle. Atak tego typu polega m.in. na działaniach socjotechnicznych, których celem jest przechwycenie i modyfikacja przez przestępców komunikacji między firmą, a użytkownikiem korzystającym ze  strony internetowej.

Niewiele osób zdaje sobie sprawę z tego, że domena internetowa może zostać porwana (ang. domain hijacking), czyli kontrolę nad nią może przejąć przestępca.

W takiej sytuacji strona internetowa oraz konta e-mail mogą zostać przekierowane na inną lokalizację. Na skutek wskazania innych serwerów przez osoby nieupoważnione, przestępcy mają możliwość dowolnego zarządzania treścią znajdującą się na stronie, przejmowania danych czy nawet infekowania użytkowników złośliwym oprogramowaniem.

Dla przestępcy łatwiej jest niekiedy zdobyć dane dostępowe do panelu klienta niż przeprowadzić atak na data center. Istnieje wiele sposobów wejścia w posiadanie takich danych, począwszy od wykorzystania chwili nieuwagi osoby zarządzającej dostępem np. na niezabezpieczonym komputerze, przez zastosowanie metod socjotechnicznych skutkujących udostępnieniem loginu i hasła, a skończywszy na zainfekowaniu systemu rejestratora i uzyskaniu dostępu do panelu administracyjnego do zarządzania domenami internetowymi, za pośrednictwem którego osoba trzecia może zmienić delegację domeny, co jest jednoznaczne z przejęciem nad nią kontroli.

O ile dla firmy, której strona internetowa stanowi rodzaj wizytówki, podmiana treści może stanowić „tylko” poważny kryzys wizerunkowy, to dla np. instytucji finansowej czy sklepu internetowego, może oznaczać katastrofę na wielu płaszczyznach.

W praktyce taki atak może skutkować tym, że klient np. sklepu internetowego jest przeświadczony, że dokonał zakupu, zapłacił za niego, a sprzedawca nie dość, że transakcji nie zarejestrował – tylko zamiast niego przestępca – to jeszcze pieniądze trafiły właśnie do tego drugiego.

W dobie błyskawicznie rozprzestrzeniających się opinii na forach internetowych i w mediach społecznościowych, porwanie domeny internetowej ma długofalowe skutki. Samo odzyskanie kontroli nad domeną nie rozwiązuje problemu, bo poszkodowani klienci poczuli się oszukani, a ich opinie poszły w świat.

Jak dochodzi do porwania domeny internetowej?

Do porwania domeny dochodzi gdy strona trzecia dysponując danymi dostępowymi zaloguje się do panelu klienta rejestratora i zmieni delegację domeny, czyli serwery nazw, na których domena jest zlokalizowana. Po tym jak atakujący przekieruje domenę na swoje serwery, może z nią robić co chce, np. użyć uprzednio spreparowanej strony, do złudzenia przypominającej tę prawdziwą, na którą użytkownicy zostaną przekierowani i nieświadomi zagrożenia, logując się na stronie, udostępnią przestępcy swoje dane autoryzacyjne. Mówimy tutaj o bardziej zorganizowanych działaniach, gdy podstawiona strona internetowa rozprzestrzenia złośliwe oprogramowanie oraz stosowany jest phishing. Tego rodzaju ataki są niezwykle silne w przypadku stron często odwiedzanych, które generują duży ruch, np. banków – dystrybucja złośliwego oprogramowania jest wtedy bardzo efektywna.

W ostatnich latach ponad 4000 domen internetowych należących do ponad 500 firm zostało porwanych. Wśród ofiar ataków z wykorzystaniem domain hijacking znalazły się m.in. Mastercard, ING Bank, McDonald’s, Amazon, Hilton czy Massachusetts Institute of Technology i ich klienci.

W sierpniu 2013 roku strona internetowa nytimes.com, czyli dziennika The New York Times, trzeciej pod względem nakładu gazety w Stanach Zjednoczonych, przestała się ładować. Doszło do nieautoryzowanej zmiany serwerów nazw, wykryty został phishing. W lutym 2015 roku podobny los spotkał domenę lenovo.com, tutaj autorzy ataku przekierowali odwiedzających stronę znanego producenta elektroniki na obraz video, z kamerki internetowej, przedstawiający znudzonego nastolatka w swoim pokoju. Największe jednak zamieszanie wywołało porwanie domen jednego z największych banków w Brazylii. W październiku 2016 roku zmieniono delegacje wszystkich 36 domen tego banku. „Zadbano” również o zastosowanie na podstawionych stronach certyfikacji SSL (zielona kłódeczka i nazwa banku w pasku przeglądarki), co nie pozwoliło klientom wątpić w autentyczność stron i nie wzbudziło u nich żadnych podejrzeń. Przejęcie sieciowej działalności operacyjnej banku umożliwiło porywaczom przechwycenie transakcji bankomatowych, transakcji w punktach handlowych oraz przejęcie loginów i haseł oraz wiadomości email i list kontaktowych. – informuje Piotr Studziński-Raczyński, Starszy specjalista ds. DNS w Dziale Domen NASK.

Czy możliwe jest skuteczne zabezpieczenie domeny, skoro przestępcy są coraz bardziej pomysłowi i są w stanie zaszkodzić nawet gigantom na rynku?

Wiele firm nie zarządza bezpośrednio swoimi domenami internetowymi, zlecając to działanie stronom trzecim – co potencjalne zwiększa ryzyko ataku. Niezależnie kto zarządza domeną, należy przedsięwziąć odpowiednie środki, aby zapobiec nieautoryzowanej zmianie delegacji.

.pl Registry Lock to rozwiązanie, zapewniające wieloetapową autoryzację, aby chronić domenę internetową na najwyższym poziomie, tj. na poziomie rejestru domeny krajowej. Aktywna usługa .pl Registry Lock uniemożliwia zmianę delegacji domeny z poziomu panelu klienta u rejestratora, a w rezultacie zabezpiecza domenę przed porwaniem.

Obecnie usługę .pl Registry Lock oferuje ponad dwudziestu partnerów NASK. Są to czołowi rejestratorzy domen .pl w Polsce.

O bezpieczeństwo w Internecie trzeba dbać od podstaw. Szyfrowanie połączeń, certyfikaty, firewalle, czy tokeny nie pomogą jeżeli internauta zostanie niepostrzeżenie przeniesiony na fałszywą stronę. Więcej informacji na temat usługi .pl Registry Lock można znaleźć tutaj: https://dns.pl/pl_registry_lock

NASK jako rejestr domeny .pl oferuje również szereg innych rozwiązań zapewniających dodatkową ochronę, np. technologię anycast czy protokół DNSSEC.

Warto przypomnieć, że DNSSEC (Domain Name System Security Extensions) to technologia opracowana w celu ochrony przed modyfikacjami odpowiedzi DNS poprzez weryfikację autentyczności pochodzenia danych zawartych w odpowiedzi. Oznacza to, że jeśli serwer nazw ustali, że rekord adresu dla danej domeny nie został zmodyfikowany podczas przesyłania, pozwala użytkownikowi odwiedzić stronę internetową. Jeśli jednak ten rekord został w jakiś sposób zmodyfikowany lub nie pasuje do żądanej domeny, serwer nazw blokuje użytkownikowi dostęp do fałszywego adresu.