Впрочем, угнать домен банка, даже и временно, удается далеко не всегда (но иногда удается). Поэтому фишеры используют другие способы, также основанные на доменных именах, но не требующие хитрейших хакерских «упражнений».
Например, фишеры регистрируют домены, по тому или иному «психологическому» аспекту похожие на домен атакуемого сервиса (а атака не обязательно проводится на банк). Скажем, для атаки на сервисы известной поисковой машины «Яндекс», размещающей свои «точки входа» под доменом yandex.ru, предназначался домен yanclex.ru. В этом случае использовалась графическая схожесть буквы d и последовательности букв cl. Для осуществления атаки с использованием графически похожего домена пользователям рассылают поддельные сообщения электронной почты, в данном случае якобы от «Яндекса», в тексте которых содержится приглашение зайти по указанной ссылке и ввести свои авторизационные данные. Здесь важную роль играет именно то, что пользователь не набирает адрес в строке браузера и не использует «браузерную закладку» для перехода на сайт «Яндекса», а кликает по предложенной ссылке, на глаз определяя ее как ведущую на «Яндекс».
Регистрация домена yanclex.ru вполне может вызвать некоторые подозрения у регистратора, хотя никаких правовых оснований для запрета регистрации подобного домена нет. Но встречаются и куда более изящные с технической точки зрения решения, не могущие даже вызвать подозрений до того момента, как начнется фишинговая атака. Например, в 2010 году фишеры очередной раз использовали старый механизм дезинформирования пользователя и атаковали интерфейсы некоторых интернет-сервисов с помощью довольно изящного алгоритма. (Как обычно, я не излагаю атаку во всех деталях и незначительно изменяю некоторые технические моментыэта книга не о взломе чужих аккаунтов.)
Итак, в атаке задействовали обыкновенный домен в зоне .COM (эта зона, кстати, допускает весьма высокую степень «приватности» регистраций, затрудняющую в дальнейшем поиск злоумышленников правоохранительными органами). Суть атаки сводилась к регистрации домена уровнем ниже второго, но сходного по имени с доменом сервиса. Например, регистрировался домен twitter.com.
ffghfs.com. Здесь название домена второго уровня вообще не имеет значения, ставка делается на фрагмент twitter.com, имитирующий адрес известного сервиса микроблогов. На первый взгляд кажется, что пользователь легко отличит поддельный адрес от настоящего именно благодаря наличию избыточного «суффикса». Но не так все хорошо: злоумышленники использовали тот факт, что многие пользователи заходят в данный сервис с мобильных устройств (телефонов, коммуникаторов), в которых возможности по отображению адреса ограничены. Поэтому пользователи таких устройств, получив в специальном письме (или через систему обмена мгновенными сообщениями) некую ссылку, видели на экране только «начало» доменного имени в адресе URL: «http://www.twitter.c» и предполагали, что соединяются со страницей известного им сервиса. Подготовить копию веб-интерфейса, запрашивающего пароль, и разместить ее под поддельным доменомтакая операция не представляет какой-либо трудности для интернет-мошенников.
Хитрость в том, что URL разбирается компьютером как положено по стандартам: то есть в области, определяющей адрес сервера, справа налево (терминальнымотделяющим адрес сервера от других элементов URLтут является правый символ '/'). То есть, с точки зрения компьютера, вся строка адреса, начинающаяся с www.twitter.com, представляет собой адрес внутри домена ffghfs.comа это никакой не «Твиттер»!
Беда в том, что о реальных свойствах и правилах «синтаксического разбора» интернет-адресов компьютерами знают только специалисты. Пользователи же вынуждены доверять своему «наивному сознанию».
Фишеры атакуют все функции, касающиеся работы пользователя с интернет-адресами. Так, пользователям свойственно вводить адреса сайтовимена доменов, вручную набирая их в адресной строке браузера. При этом пользователь может сделать опечатку. За «доменами-опечатками» охотятся не только так называемые тайп-сквоттеры, но и фишеры.
Некоторые владельцы раскрученных торговых марок и посещаемых ресурсов щепетильно относятся к «доменам-опечаткам», заранее регистрируя их на себя. Другие, видимо, из-за недопонимания проблемы упускают момент, отдавая «опечатки» охотникам за доменами. Уходят «домены-опечатки» даже от известных ИТ-компаний, чей бизнес прямо связан с Интернетом. Например, в управлении у российской компании «1С-Битрикс» находится домен bitrix.ru, под которым размещен сайт известной в Рунете коммерческой системы управления сайтами (CMS) «Битрикс». При этом очевидный «домен-опечатка» biRTix.ru (из-за особенностей зрительного восприятия текста при беглом чтении этот домен неотличим от оригинала; «перестановка» специально выделена заглавными буквами) управляется вовсе не «1С-Битрикс» (по состоянию на 2013 год). Другой пример: компания «Яндекс» запустила сервис для веб-мастеров под доменом webmaster.yandex.ru. Менеджеры компании, прежде чем публично объявлять о запуске нового сервиса, не позаботились о перехвате «тайпсквоттерских» доменов. В результате очевидное доменное имя с опечаткой webmasteryandex. ru (без точки) оказалось под управлением опытных домейнеров.
Рост тайпсквоттерской активности в приобретении доменов наблюдается регулярно, как только какой-то новый (или не очень новый) интернет-проект вдруг обретает большую популярность. Например, как только в 20062007 годах набрал популярность проект «Одноклассники», размещенный под доменом odnoklassniki.ru, тут же началась регистрация десятков «доменов-опечаток», например odnoklasniki.ru, odnolkassniki.ru, ondoklassniki.ru и т. п.
Все эти опечатки могут так или иначе использоваться фишерами. Не обязательно для прямых атак. Возможны многоступенчатые схемы: сначала пользователя заманивают на «домен-опечатку», выдавая размещенный там поддельный сайт за настоящий; далее пользователю предлагают перейти по той или иной ссылке, ведущей на внешний ресурс. Поскольку пользователь полагает, будто находится на сайте известной ИТ-компании, ему будет значительно легче «обмануться» и, особенно не задумываясь, перейти по рекомендуемой ссылке на ресурс фишера, например изображающий официальный интернет-магазин той самой ИТ-компании.
Администратор домена должен принимать во внимание элемент подделки сайтов, особенно если речь идет о работе с важной пользовательской информацией, применять специальные дополнительные средства авторизации, позволяющие посетителю проверить достоверность сайта. Тем более что такие средства есть. Это системы SSL-сертификатов. SSL-сертификаты, используя криптографические методы, позволяют браузеру клиента проверить с привлечением независимых центров доверия, что сайт, с которым браузер соединяется, действительно является тем, за который себя выдает, и размещен под указанным в адресной строке доменом.
Рассмотрение систем подобной сертификации сайтов выходит за рамки данной книги. Отмечу только, что сертификат должен быть размещен вместе с защищаемым сайтом, а процедура генерации сертификата должна сделать его копирование весьма затруднительным (можно сказать, нереальным) для злоумышленников. Впрочем,
SSL-сертификаты лишь затрудняют деятельность по введению посетителей атакуемого сайта в заблуждение, но не делают ее невозможной.
Введение в строй многоязычных доменов, например кириллического домена РФ, создает новое пространство и для злоумышленников, которые обязательно начнут использовать особенности новых имен.
Для борьбы с самым очевидным вариантом фишинга, со смешением графически идентичных букв латиницы и кириллицы (типа буквы «эр» и буквы p«пи»), в домене РФ запрещают использование латиницы вообще. Это очень разумно.
Но, как мы разобрались ранее, для кодирования отличных от латинской азбуки символов в имена, допустимые для DNS, используется специальный алгоритм Punycode. На вход этого алгоритма могут подаваться произвольные символы Unicode, а на выходе получается строка из латинских букв, дефисов и цифр (есть и обратное преобразование).
Кириллические домены верхнего уровняэто домены верхнего уровня. Но никто не запрещает использовать многоязычные имена в других доменных зонах, третьего уровня, скажем, и ниже. Punycode здесь также работает, а ограничения регистраторов доменов на смешивание символов нет. В большинстве случаев, практически важных для фишеров, преобразование алфавитов осуществляют браузеры. От введения дополнительного слоя преобразований безопасность пользователя в данном случае не может улучшиться, это очевидно. Ожидать, конечно, нужно и дыр в реализациях преобразований Punycode. Но с появлением и распространением домена РФ важнее умелое использование этих технологий в других доменных зонах.
В 2009 году я провел эксперимент, создав доменное имя, закодированное вот такими «кракозябрами»: xn-80adjurfhd. xn-click-uye2a8548c.dxdt.ru, что в перекодированном по таблицам Unicode виде смотрится так: проверка. рфclick. dxdt.ru. Здесь для имитации слеша использован специальный символ из таблиц Unicode с кодом 0х2044 (математический «знак деления»). Итоговый URL может быть вот таким: http://проверка. рфclick.dxdt.ru/мимикрия под проверка. рф, при этом реально домен находится в зоне. dxdt.ru, которой управляю я. Отличить сложно. Во многих браузерах в 20092010 годахуспешно работало. Правда, в 2010 году, например, в браузере Opera работа со смешанными многоязычными адресами уже была скорректирована и при переходе по данному URL выдавалась ошибка «Invalid URL», что неплохо. Позже подоспели и другие браузерыFirefox, IE, Chrome, исправив отображение подобных URL. Понятно, что на практике фишеры вместо проверка. рф могли использовать другие варианты исходных доменов, какие-нибудь известные бренды или названия банков.
У эксперимента с проверка. рф есть и второй результат: до сих пор, даже в начале 2014 года, ссылка на мою тестовую страницу выдается поисковой системой Google на первом месте по запросу «проверка. рф» (именно этого эффекта я и хотел добиться). При этом адрес в тизере поисковика (см. скриншот) выглядит просто идеально.
Читатель спросит: ну и что с того, что на первом месте? Подумаешь, поисковый запросто не самый, как говорится, интересный! Но дело в том, что очень многие пользователи Сети вводят адреса сайтов не в адресной строке браузера, а строке запроса поисковика. После чего просто переходят по первой ссылке. То есть в данном случае поисковик помог создать идеальную видимость работы домена проверка. рф в то самый момент, когда и самого домена РФ еще не было в DNS (я затеял этот небольшой опыт в ноябре 2009 года). Надо сказать, что демонстрация эффекта даже на бывалых системных администраторов производила впечатление: «Постой, постой! А как это? Не может быть!»спрашивали они; и лишь через пару минут, поизучав ситуацию, понимали, что к чему. Что уж ожидать от рядовых пользователей. Так что в связи с появлением многоязычных доменов нас, к сожалению, ждет новый всплеск оригинального доменного фишинга.
В заключении этой главы еще раз подчеркну, что существенным подспорьем в решении проблем безопасности, очень актуальных для банковских сайтов и сайтов платежных систем, является заблаговременная регистрация всевозможных «доменов-опечаток».
Глава 12Право на домен
Доменные имена давно превратились в важный инструмент бизнеса. Нередки случаи, когда доменное имя представляет собой единственный действительно ценный ресурс той или иной коммерческой компании, а потеря домена эквивалентна потере всего бизнеса. Вокруг доменов возникают серьезные и весьма сложные в юридическом смысле судебные процессы. Некоторые из них, несмотря на кажущуюся очевидность, могут тянуться годами. Так, например, разбирательства вокруг домена kamaz.ru, зарегистрированного и использовавшегося частным лицом, а не известным на весь мир российским автопроизводителем, продолжались почти десять лет. Правда, в результате домен достался автозаводу.
Отдай мой домен
Что нужно знать начинающему администратору домена о правовых хитростях, окружающих доменные имена? Прежде всего необходимо уяснить для себя реальный статус доменов в российском законодательстве. Как ни странно, их статус можно довольно точно описать одним прилагательным: «расплывчатый». Статус доменного имени, как и само понятие «домен», в законодательстве хоть и упоминается, но четко не прописан (2013 год).
С точки зрения российского законодательства регистрация доменного имениэто услуга, оказываемая юридическим лицом (скорее всего, коммерческой компанией) либо физическому лицу, либо другому юридическому лицу. Услуга, и не более. Документы и договоры, подтверждающие право управления доменом, и близко не равны по юридической силе действия каким-либо государственным правоустанавливающим документам.
Однако от этого право управления доменом не перестает быть правом. То есть администратор не покупает доменон лишь получает право администрирования домена. Что это меняет? Как только дело дойдет до официальных юридических процедур, выяснится, что меняет это очень многое. Например, право на управление доменом нельзя наследовать. Если администратор домена умер, то коммерческая компания-регистратор вовсе не обязана передать право управления наследникам администратора. Ситуация во многом аналогична другим правам. Скажем, пенсионер может иметь право на бесплатный проезд в общественном транспорте. Но это право не переходит вместе с квартирой к наследникам данного пенсионера после его смерти (даже если пенсионер указал бесплатный проезд в завещании). Так и с доменом. Конечно, никто не запрещает компании-регистратору проявить добрую волю и передать право на домен наследникам умершего администратора, но регистратор не обязан так поступать.
Наследование доменов становится довольно важным моментом, как только они обретают серьезную ценность. В настоящий момент наиболее удобным способом передачи доменов по наследству является оформление их на юридическое лицо, владельцем которого является тот, кто заинтересован в корректном переводе доменов на наследников. В таком случае наследники унаследуют домены вместе с юридическим лицом: наследование долей в компаниях более четко регулируется законодательством.
Оформление прав управления доменом на юридическое лицо также должно проводиться с соблюдением определенных формальных правил. Так, особое внимание нужно уделить полномочиям генерального директора компании. Ведь директорнаемный сотрудник, имеющий при этом определенные права по управлению имуществом компании. В случае с доменом следует отдельно указать в договоре с директором и в учредительных документах компании, что директор не имеет права передавать права компании по доменным именам кому бы то ни было без согласия владельцев (более строгоучредителей). Это довольно важный момент: из-за новизны такого правового явления, как доменное имя, к юридическим аспектам управления им все еще относятся без должного внимания. А между тем, как уже упоминалось, однажды доменное имя может стать единственным ценным ресурсом компании. В конце концов, другие ресурсы она может утратить и сохранить лишь раскрученный домен.
Интересно, что при разделе имущества обанкротившейся компании с доменными именами также возникают серьезные трудности. Если владельцев бизнеса несколько, раздел доменного имени между ними может оказаться весьма проблематичной задачей. Право управления доменом не набор мебели, включающий двенадцать стульев. «Разрезать» данное право на несколько частейочень сложно. Особенно если претендующие на домен учредители компании находятся в конфликте. Решать задачу нужно с привлечением хорошего юриста.
Впрочем, основное содержание «доменных споров» обычно составляют конфликты между владельцами доменов и владельцами товарных знаков или фирменных наименований. Как правило, вторые пытаются отсудить домены у первых, часто успешно. Довольно просто отсудить домен, совпадающий в написании с зарегистрированной торговой маркой, которая не является тем или иным общеупотребительным словом. Если же доменное имя представляет собой общеупотребительное слово, то в случае существования совпадающей с ним торговой марки отсудить домен будет нелегко. Особенно если администратор домена не использует его для деятельности, входящей в тот же класс товаров и услуг, для которых зарегистрирована торговая марка.
Домены, совпадающие с торговыми марками, могут регистрировать киберсквоттеры, чтобы в дальнейшем попробовать получить доход, предложив такой домен для выкупа владельцам торговой марки. Восприняв результаты судебных разбирательств, успешных для владельцев торговых марок, в последнее время киберсквоттеры уже не захватывают все доступные доменыторговые марки подряд, а кроме того, киберсквоттерами придуман целый ряд оригинальных мер, направленных на усложнение отсуживания доменов.
Например, киберсквоттер может зарегистрировать домен, имя которого совпадает с названием торговой марки, но не использовать его, то есть не делегировать. Теперь иск владельцев торговой марки о том, что киберсквоттер неправомерно использует торговую марку в названии домена (а Гражданский кодекс в этом случае регулирует именно использование торговой марки), окажется неэффективным. Регистратор доменных имен также подтвердит в суде: действительно, домен даже не делегирован, а значит, не используется.