Хакеры открывают сезон распродаж

В рунете массово регистрируются домены с названиями популярных брендов — через структуру с серверами в Белизе. По мнению экспертов в сфере кибербезопасности, сайты могут принадлежать мошенникам, которые готовят кампанию с фальшивыми распродажами. Между тем с блокировкой таких ресурсов могут возникнуть проблемы.

В рунете происходит массовая регистрация доменов с названием популярных брендов и окончанием -off (может использоваться для распродаж), например familiya-off.ru, detskiy-mir-off.ru, tele2-off.ru, rosneft-off.ru, citilink-off.ru, рассказали “Ъ” в Infosecurity a Softline company.

Только 20 октября сервис выявления угроз Ethic зафиксировал появление 192 таких доменных имен, говорит глава блока специальных сервисов Infosecurity Сергей Трухачев.

Все домены оформлены через одну и ту же российскую компанию-регистратора и привязаны к серверу, находящемуся на технических площадях компании Ispiria из центральноамериканского государства Белиз. Эта компания нередко используется для хостинга фишинговых и иных вредоносных сайтов, указывают в Infosecurity.

Общие затраты покупателя доменов могут исчисляться десятками тысяч рублей, так как стоимость регистрации одного доменного имени, как правило, составляет 199 руб., отмечает господин Трухачев.

Скорее всего, скоро владелец доменов начнет монетизировать их: например, использовать для накрутки сетевого трафика, фишинговых рассылок или создания полноценных фишинговых сайтов, полагает эксперт.

Появление около 200 подобных доменов в зоне .ru после 20 сентября зафиксировали и в компании «СёрчИнформ». Среди них очень разнородные бренды — мебельные компании, ювелирные салоны, сотовый ритейл, магазины одежды, а значит, это вряд ли может быть легальной маркетинговой акцией, рассуждает начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд. На признаки мошенничества указывает и то, что домены зарегистрированы на частное лицо, тогда как у реальных сайтов тех же компаний другие администраторы.

В целом регистрации доменов с названиями крупных брендов происходят ежедневно, например, в год регистрируется по 500–600 доменов, связанных с брендами телефонов, говорит сооснователь компании BrandMonitor Кирилл Кириллов. Заработок мошенников зависит от того, каким способом они монетизируют домены: например, торговцы контрафактом могут зарабатывать 3–10 млн руб. в год, отмечает он. Сроки блокировки подобных сайтов разнятся: если ресурс распространяет вредоносное программное обеспечение или очевидно является фишинговым, то регулятор или хостинг-провайдер могут заблокировать его всего за один день. Если же сайт не является фишинговым, а только нарушает права бренда, то не всегда удается закрыть его досудебно, отмечает господин Кириллов.

Кроме того, заблокировать некоторые сайты, по его словам, просто нет технической возможности: например, когда их серверы находятся в другом государстве, где хостинг-провайдеры не блокируют сайты, например, как раз в Белизе.
В таком случае доступ к сайту можно приостановить только на стороне операторов связи.

Бизнес нередко сталкивается с подобными инцидентами. Например, у «МегаФона» были случаи регистрации доменов, схожих с адресом сайта оператора, подтверждают в компании. С ними борются как с помощью внутренних ресурсов, так и с привлечением внешних партнеров.

В других опрошенных “Ъ” компаниях также утверждают, что отслеживают появление подобных доменов и борются с ними при появлении признаков использования в мошеннических целях. Для этого, например, в Tele2 налажены контакты почти со всеми российскими регистраторами доменов. Как поясняют в компании, это позволяет в случае необходимости оперативно добиваться блокировки ресурсов, которые используются для незаконной деятельности.