Pull to refresh

Как я возвращал украденный домен популярного сайта

Information Security *
Sandbox
В 2008 году создал сайт, который, спустя время, превратился в водно-моторное сообщество, объединяющее тысячи любителей моторных лодок и катеров. В сезон, посещаемость ресурса превышала 10 000 человек в сутки и кто-то решил, что сайт ему нужнее.

Получив доступ в админ-панель моего регистратора (r01.ru), вор перенес домен к другому (internet.bs) на свой аккаунт. База данных и файлы обманным путем были получены у хостера.

Я потерял проект, над которым работал около 9 лет. Вернуть домен получилось лишь через 8 месяцев. Подробности ниже.

Тревожный звонок


19 мая 2017 года мне позвонил по телефону модератор форума Дмитрий и рассказал, о том, что ему написал некто и представился новым администратором, также сообщил о пропаже некоторых сообщений и глюках с оповещением. В тот момент я находился вдали от цивилизации и о серьезности проблемы даже не догадывался.

На следующий день, оказавшись за компьютером, стал разбираться, бросился в глаза новый рекламный блок Google Adsense во всю ширину страницы. Зайти на форум под своим ником не смог, пошел к хостеру, но и там авторизоваться не получалось.

Разбирательство с хостером


Позвонив хостеру (hts.ru), узнал, что кто-то запросил пароль от аккаунта, предоставив копию моего паспорта. По этой просьбе служба поддержки сбросила пароль и сняла двухфакторную авторизацию (sms). Для получения доступа у меня также потребовали прислать скан паспорта. Согласно регламенту hts.ru, каждый, у кого есть скан паспорта, имеет возможность получить доступ к аккаунту владельца. Как выяснилось позже, достаточно иметь даже не копию паспорта, а грубую подделку копии. В моем случае вор прислал фальшивку, в которой было множество ляпов: неверная дата выдачи, код подразделения, подпись, чужое фото, а дата регистрации по месту жительства оказалась ранее даты рождения. К “копии паспорта” было приложено отсканированное заявление (тоже требование hts), в котором вор просил дать доступ к аккаунту, на котором находится сайт, и подписался совершенно не так, как в присланной “копии”. Мою просьбу об официальном объяснении в hts выполнили, правда указали, что некто прислал копию паспорта, а не фальшивку.

Являюсь клиентом hts с 2008 года. Такой халатности, как сброс двухфакторной авторизации, не ожидал, ведь можно было позвонить, посмотреть логи заходов, хватило бы даже внимательного просмотра “копии паспорта”… Никаких извинений и компенсации от hts не получил, правда и не требовал.

После получения доступа к серверу, пришло понимание того, что сайт находится на другом хосте. Whois говорил об изменении регистратора, а также NS.

Домен украли


В админке регистратора увидел, что домен принадлежит мне, NS — тоже мои.

Ранним утро субботы позвонил регистратору R01 и получил следующую информацию: “Вы — владелец, не переживайте”. Но как не переживать, whois показывает, что изменен регистратор и NS! Повторный звонок в R01 подтвердил мои опасения, домен был перенесен к другому регистратору (международные домены передаются через интернет, без документов), в админ-панели информация обновляется с большим опозданием. На вопрос: «Что делать?», предложили написать тикет и дожидаться понедельника (юридический отдел работает по будням).

Как дожить до понедельника тогда — я не знал. Сердце ёкало, бросало то в жар, то в холод, в голове кружились сумбурные мысли.

Как украли домен


Пароль от почты и у регистратора не был изменен, что говорило о том, что вор их узнал, а сделать это можно было лишь при взломе моего компьютера. Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов), а пароль от почты можно было взять в почтовом клиенте Thunderbird.

Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.

Мой компьютер работал под Win10, стоял Avast. В домашней сети было еще два компьютера (Win7 + Avast). Один из них и был взломан, на роутере вор настроил проброс портов с этого компьютера.

6 мая мошенник зашел в мою почту, настроил спам-фильтры и после этого все письма от регистратора стали попадать в папку «Спам», поэтому предупреждения о смене регистратора я не видел. Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.

В личном кабинете регистратора была инициирована передача домена к другому регистратору (internet.bs) на аккаунт мошенника.

Кража международных доменов


В сети описано множество подобных случаев и лишь малая часть имеет happy end. Руководства к действию не нашел, поэтому стал писать письма и личные сообщения на форумах людям, столкнувшимся с кражей домена TLD. Один из ответивших, Дмитрий, вызвался помочь за вознаграждение. Я согласился, так он стал моим консультантом.

Случай Дмитрия был идентичным моему, прослеживался почерк мошенника. Телефонная беседа вселила оптимизм. Он рассказал о своем опыте. Ему удалось вернуть домен через нового регистратора (internet.bs). В течение 3 месяцев он вел переписку с “abuse team” (юридический отдел), при этом постоянно обращался в online-чат службы поддержки (по его словам, это ускоряет процесс) и – о, Чудо! (как выяснилось позже, это было именно Чудо), internet.bs вернул домен!

Руководство к действию для возврата домена через регистратора:

1) Старый регистратор должен написать новому о том, что клиент не согласен с передачей домена.
2) Написать самостоятельно письмо новому регистратору и коротко указать о проблеме, при этом сослаться на письмо старого регистратора (номер тикета). Ответ от internet.bs (именно туда чаще всего переносят краденые домены) будет в течение 3-4 рабочих дней.
3) Вести переписку с новым регистратором и предоставлять доказательства своей правоты. Очередного письма от internet.bs можно ждать неделями, забегая вперед — я так и не дождался финального письма.

По оптимистичному прогнозу Дмитрия ждать возврата домена стоило не ранее, чем через месяц. Поэтому я решил восстанавливать работу сайта на новом домене.

Восстановление работы сайта


В ночь с субботы на воскресенье практически не спал и с рассветом решил действовать. Восстановил сайт на домене, зарегистрированном с вечера. Выбрал адрес в зоне RU, полностью идентичный старому, убрав точку перед org.

На новом форуме написал обращение к пользователям и подкрепил его своей фотографией с новым адресом сайта.

Затем разослал письма зарегистрированным пользователям (~14 000 чел.), но, как оказалось потом, из-за ограничений hts письма были отправлены не всем, поэтому позже отправлял повторно.

В тот момент я не верил, что сайт на новом домене сможет заменить постояльцам старый. Зачем им уходить? Однако дружное сообщество меня поддержало.

Вскоре на старом форуме в теме о глюках, которые возникли при краже базы, о полученном от меня письме отписался первый человек, потом второй… Далее активизировался “воришка” (так мы его прозвали), который не потрудился зарегистрироваться, а писал от моего имени и с аватарой, на которой находилось мое фото. Ранее он уже отвечал, что глюки связаны с переездом. Воришка назвал меня лжецом, сообщил всем о том, что сайт продан и теперь он — законный хозяин, а в качестве доказательства предоставил скриншот письма, где я благодарю его за покупку, и пригрозил судом. Однако поверили вору немногие, люди задавали вопросы, поэтому воришка принялся удалять «неудобные» сообщения и блокировать неугодных пользователей.

В первый день на новый форум перебрались несколько десятков человек, однако часть из них продолжала общаться и на старом. Большая часть форумчан поначалу с недоверием отнеслась к новому сайту, кому-то не хотелось сидеть на безлюдном форуме (20 человек online против 500+). Ситуацию помогли изменить активисты из числа перешедших на новый форум, они писали личные сообщения, письма, обзванивали знакомых. Один только модератор Дмитрий, который первым сообщил мне о глюках, написал несколько сотен сообщений и писем. Чтобы высказать протест, люди удаляли свои сообщения на старом форуме, редактировали их, оставляя ссылки на новый сайт, создавали темы о краже сайта, которые впрочем быстро удалялись, а пользователи блокировались. К середине недели новый форум стал домом для более 70 активных участников, при этом новых сообщений на нем было уже больше, чем на старом.

Старый форум жестко модерировался, новый адрес попал в спам-фильтр. Воришка под разными никами агитировал как на подконтрольном форуме, так и на новом. Одно из его сообщений: “100 сбежавших крыс с корабля ничего не изменят, ведь форум посещают более 10 000 человек”. Вор не учёл, что именно эти 100 человек и делают форум.

Полиция


Несмотря на то, что о результативной помощи полиции при краже международных доменов информации я не нашел, а о бездействии писали многие, решил всё же попробовать. Позвонил в полицию, дежурный рекомендовал обратиться в отдел К, занимающийся расследованием преступлений в области ИТ. Дозвонился до этого отдела в понедельник 22 мая и меня отправили писать заявление в областное УВД, на имя генерал-майора полиции. Составил заявление, дежурный его принял, присвоил входящий номер и сказал ждать звонка. Через несколько дней мне позвонил следователь. В назначенное время я пришел в кабинет к сотруднику отдела К, им оказался молодой парень по имени Андрей, он выслушал меня, задал несколько вопросов, после чего я понял, что следователь не силен в терминологии и имеет лишь поверхностные знания в этом вопросе.

Мое заявление с описанием случившегося (страница А4 печатного текста) лежало у него на столе, но видимо для дела этого оказалось недостаточно. Нужны были подробности, поэтому пришлось диктовать расширенную версию, которая начиналась с того, что сайт был создан тогда-то, описывалось, как я узнал о краже и т.п. В итоге получилось 3-4 страницы текста. Во время совместной работы Андрей проявлял заинтересованность, казалось, что он хочет помочь. Я предложил ему сделать запросы в Яндекс и Google, так как на сайте были размещены блоки Adsense и Директ мошенника. Также попросил обратиться к хостеру (MCHost). Передал скриншоты из Mail.ru, где были видны входы с ip адресов из Польши, а также объяснительную от моего хостера и логи действий мошенника на хосте. Через две недели позвонил Андрею, он сказал, что скоро дело передадут в отделение полиции моего района, откуда мне позвонит следователь. Прошел почти месяц, но никаких звонков не поступало. Тогда я позвонил в районное отделение, где меня отправили в областное управление, а оттуда — в районное. Вновь позвонил Андрею, он сообщил, что раз не могут найти, то скорее всего в возбуждении уголовного дела отказано, и для моего случая это — частое явление! При повторном звонке в областное УВД я настаивал на получении информации, на что получил ответ от дежурного, что у него нет времени рыться в журналах и предложил ждать письмо.

Письмо об отказе действительно пришло, получил я его спустя 2,5 месяца после подачи заявления, но об этом — ниже.

Разбирательство с регистраторами


Дождался понедельника, 22 мая, и позвонил в R01. В тот момент я уже знал, что R01 — не мой регистратор, а всего лишь реселлер. Регистратором домена был PublicDomainRegistry, это я обнаружил, просматривая архивный whois.

Трубку в R01 взяла Ирина, выслушала меня и сказала, что передача домена прошла без нарушения регламента. То, что не умею хранить пароли, — это моя проблема. Я рассказал о том, что являюсь их клиентом с 2003 года, затем объяснил про взлом почты, после чего девушка попросила доказательства, сказав, что они пригодятся для обращения в ResellerClub (дочернее подразделение PublicDomainRegistry), именно с этой компанией у R01 заключен договор.

Получить подтверждение взлома почтового ящика в mail.ru оказалось невозможно. Ответ был получен в течение суток: “К сожалению, мы не предоставляем подобных услуг”. Других доказательств взлома кроме скриншотов, на которых видны входы из Варшавы, у меня не было, поэтому отправил их в R01, затем позвонил (вторник, 23 мая). Разговаривал снова с Ириной, как и во все последующие разы. Девушка была вежлива, сказала, что свяжется с бывшим регистратором и сообщит ему о моем несогласии. Не получив письма, в понедельник, 29 мая, снова позвонил в R01, Ирина сообщила, что пока не получила ответа, и тогда я попросил написать в internet.bs.

На следующий день Ирина переслала письмо, полученное от internet.bs, в котором сообщалось, что они готовы к диалогу лишь с регистратором (PublicDomainRegistry).

6 июня наконец получил письмо от R01 следующего содержания: “Получили ответ от нашего “аккаунт-менеджера” о том, что нам скоро ответят. Ожидаем ответ.”

9 июня пришло позитивное письмо, в котором говорилось, что Logicboxes готов к TDRP (Transfer Dispute Resolution Policy), процедура будет стоить 300$. Конечно, я был согласен заплатить эту сумму за восстановление справедливости. Ирина приложила к письму текст, который я был должен отправить в logicboxes.com (еще одно подразделение регистратора). Письмо отправил в тот же день, однако ответ так и не пришел.

20 июня я позвонил в R01, Ирина пообещала написать еще письмо в ResellerClub.

23 июня R01 снова получил «отписку» от аккаунт-менеджера, где тот извинялся и уверял, что скоро займется проблемой.

28 июня R01 в очередной раз получил письмо, в котором аккаунт-менеджер уже сообщал, что не стоит больше обращаться в logicboxes.com, поможет отдел по урегулированию споров PublicDomainRegistry.

Тем временем заканчивался 60-дневный срок блокировки домена, по завершению которого вор мог передать домен очередному регистратору. Я составил жалобу в ICANN и начал активно звонить в R01. Ирина снова написала письма регистратору и в его дочерние структуры.

И – о, чудо! 13 июля, за несколько дней до окончания периода блокировки домена, я получил письмо от Abuse Mitigation Team PublicDomainRegistry в котором говорилось, что они инициировали разбирательство.

14 июля пришло письмо от Internet.bs, в котором было сказано о том, что с ними связался прежний регистратор и разбирательство уже идет. После этого письма к статусу домена clientTransferProhibited (запрет трансфера) добавился clientUpdateProhibited (запрет на редактирование).

27 июля получил письмо от PublicDomainRegistry, в нем сообщалось, что internet.bs не желает возвращать домен. Далее в письме последовало предложение воспользоваться процедурой UDRP или обратиться в суд.

В этот же день я написал письмо в internet.bs с описанием ситуации и предложением компенсировать расходы на разбирательство. 11 августа пришел ответ: “Наш клиент утверждает, что купил домен”.

Тогда я написал еще одно письмо, в котором привел имеющиеся у меня доказательства и попросил предоставить подтверждающие покупку документы. 15 августа получил ответ: “Мы получили письмо, в ближайшее время свяжемся”. По прошествии 10 дней ожидания обратился в online-чат службы поддержки internet.bs, где мне сказали: “Тикет в работе, ждите ответа”. Статус тикета не изменился и еще через 3 недели, после чего решил обращаться в WIPO.

Роскомнадзор


22 мая мне пришло письмо, якобы от Роскомнадзора. В нем говорилось, что поступила жалоба от правообладателя (был указан мой прежний адрес сайта) и требование удалить 3 страницы содержащие профильные книги времен СССР, одна из которых была отсканирована мной лично (изображения содержали вотермарки). Возмутившись, я написал ответное письмо, на что получил отписку: “Разбирательствами мы не занимаемся. Если от владельца сайта поступит претензия в адрес копии сайта, то последует блокировка”. Поскольку главным в тот момент для меня был форум, эти страницы я снял с публикации. Увидев эффект, 31 мая воришка написал еще одно письмо от имени Роскомнадзора, в котором было требование удалить содержание сайта. Не дожидаясь блокировки, на главной странице нового сайта вместо контента опубликовал информацию о краже, а форум закрыл для просмотра незарегистрированными пользователями, кроме одного раздела — “Кража домена”. Сам же принялся звонить в федеральный Роскомнадзор, однако горячей линии по вопросам заблокированных сайтов там не существует. Тогда позвонил в региональный, но ответивший специалист оказался некомпетентен. Выслушав мою историю, ответил: “Раз пришло письмо, значит заблокируют”. В тот же день я отправил заявление в прокуратуру, а через несколько дней для уверенности — в Генеральную прокуратуру. Первым пришел ответ из Генпрокуратуры (13 июля) по электронной почте, ответ от региональной прокуратуры я получил по почте днем позже. Оба информировали: “Роскомнадзор не имеет отношения к письмам о блокировке вашего сайта”.

Вор зарегистрировал домен очень похожий на официальный Роскомнадзора, создал на нем фишинговый сайт с формой обратной связи. Письма отправлял, используя ящик, созданный в этом домене, и использовал шаблон Роскомнадзора.

Следует знать, что Роскомнадзор блокирует сайты лишь по решению суда. Правообладатель должен выиграть суд, и лишь тогда может последовать блокировка.

Новая Моторка


После известия из прокуратуры вернул сайт к прежнему виду, открыл форум для незарегистрированных посетителей. К этому времени старый форум уже опустел, он по-прежнему был посещаем (с поиска заходили тысячи человек), но, кроме сообщений от вновь зарегистрированных, там практически уже было нечего читать. Многие из этих сообщений были вопросами в старых темах, авторы которых писали, что ответят на Новой Моторке.

Новый форум к этому времени уже жил привычной жизнью, люди просто общались, обменивались опытом, возросло количество сообщений от вновь зарегистрированных. Посещаемость превысила 700 человек в сутки, лишь около 10% из них были с поиска.

Видя бесперспективность борьбы за форум, воришка стал модерировать набегами, сообщения о новом адресе висели по нескольку дней. Начиная с августа, они могли висеть больше недели, воришка стал лениться удалять одиночные сообщения о новом форуме, и именно тогда я активно включился в борьбу на старом форуме. Пару раз в день писал в каждой теме с новыми сообщениями о краже сайта и о новом адресе, ссылку ставил через (goo.gl), так как url был добавлен в спам-фильтр. Воришка периодически удалял сообщения вместе с ником, поэтому снова регистрировался и восстанавливал не менее 20 последних сообщений. Уже через несколько недель такой работы старый форум практически перестал пополняться полезными сообщениями.

Вор продает сайт


С момента кражи получил три письма от людей, которым пытались продать сайт. Все они нашли через поиск новый сайт и отказались от покупки. Непосредственно на Телдери сайт не продавался, но именно там его предлагали заинтересованным в покупке похожих сайтов.

Постановление полиции


Вестей от полиции дождался лишь 8 августа: “За время проведения проверки ответы на запросы получены не были, вследствие чего установить неизвестное лицо не представилось возможным, однако установлено, что хостинг регистратора “internet.bs”, осуществляется компанией CentralNic South Site, расположенной по адресу UK, London (т.е. вне юрисдикции ОП-3 МУ МВД России Иркутское). Установить сумму причиненного материального ущерба гр. Ч., за время проведения проверки не представилось возможным, так как не предоставлены соответствующие документы по приобретению домена, хостинга, создания сайта, а также не установлено, сколько лиц посещало данный сайт, реклама на сайте и т.п. Не проведена экспертиза ПК гр. Ч. Принимая во внимание вышеизложенное, состава преступления, предусмотренного ч.1, ст. 158 УК РФ, не усматривается и, руководствуясь п.1 с. 1 ст.24 ст. ст. 144-145 и 148 УПК РФ, постановлено отказать в возбуждении уголовного дела”.

Обжаловать постановление я не стал.

WIPO


Так и не дождавшись обещанного ответа от internet.bs, я решил обратиться в ВОИС (Всемирная организация интеллектуальной собственности). Процедура UDRP в WIPO хорошо отработана.
Заявитель оплачивает пошлину в размере 1 500$ (один арбитр), 2 000$ (три арбитра). Я оплатил 1500$, на сайте wipo.int, используя банковскую карту.

От самостоятельной подачи иска отказался, доверился юристу, которого порекомендовал мой консультант Дмитрий. На тот момент Евгений (юрист), помог вернуть три сайта.

Со слов Евгения, проще вернуть домен популярного сайта. При суммарной посещаемости более нескольких миллионов человек можно говорить о незарегистрированном товарном знаке, что практически приравнивается к зарегистрированному.

Иск был подан 15 сентября, арбитраж назначен на 5 декабря. Однако состоялся только 14 декабря, задержка в 1-2 недели — частое явление.

15 декабря пришло сообщение от WIPO, где было сказано о том, что домен должен быть передан заявителю. 19 декабря пришло электронное письмо с подписанным решением суда.

20 декабря получил письмо от Internet.bs, в котором говорилось о том, что решение WIPO может быть обжаловано владельцем домена в течение 10 рабочих дней, в случае, если этого не произойдет, регистратор приступит к выполнению решения суда после 8 января. В итоге контроль над доменом я получил 12 января, уведомлений по почте об этом не было, просто передали домен на мой аккаунт.

Как обезопаситься от кражи домена


1) Скрыть информацию о домене. Публично не афишировать почту, на которую зарегистрирован домен.
2) Доступ к почте должен быть защищен двухфакторной авторизацией.
3) Домен следует регистрировать у регистратора с хорошей репутацией.
4) Вход в аккаунт регистратора должен осуществляться посредством двухфакторной авторизации.

Если украли международный домен


Как можно раньше восстанавливайте работу сайта на новом домене и уведомляйте пользователей.

Регистратор, принявший домен, не заинтересован в его возврате. Кроме того, он несет ответственность перед ICANN, поэтому в случае отъема домена без решения суда, может сам понести наказание, вплоть до лишения аккредитации.

Считаю, что тратить время на разбирательство не стоит, следует сразу обращаться в WIPO или какой-либо другой суд.
Tags:
Hubs:
Total votes 149: ↑149 and ↓0 +149
Views 45K
Comments Comments 117