Как я возвращал украденный домен популярного сайта

В 2008 году создал сайт, который, спустя время, превратился в водно-моторное сообщество, объединяющее тысячи любителей моторных лодок и катеров. В сезон, посещаемость ресурса превышала 10 000 человек в сутки и кто-то решил, что сайт ему нужнее.

Получив доступ в админ-панель моего регистратора (r01.ru), вор перенес домен к другому (internet.bs) на свой аккаунт. База данных и файлы обманным путем были получены у хостера.

Я потерял проект, над которым работал около 9 лет. Вернуть домен получилось лишь через 8 месяцев. Подробности ниже.

Тревожный звонок


19 мая 2017 года мне позвонил по телефону модератор форума Дмитрий и рассказал, о том, что ему написал некто и представился новым администратором, также сообщил о пропаже некоторых сообщений и глюках с оповещением. В тот момент я находился вдали от цивилизации и о серьезности проблемы даже не догадывался.

На следующий день, оказавшись за компьютером, стал разбираться, бросился в глаза новый рекламный блок Google Adsense во всю ширину страницы. Зайти на форум под своим ником не смог, пошел к хостеру, но и там авторизоваться не получалось.

Разбирательство с хостером


Позвонив хостеру (hts.ru), узнал, что кто-то запросил пароль от аккаунта, предоставив копию моего паспорта. По этой просьбе служба поддержки сбросила пароль и сняла двухфакторную авторизацию (sms). Для получения доступа у меня также потребовали прислать скан паспорта. Согласно регламенту hts.ru, каждый, у кого есть скан паспорта, имеет возможность получить доступ к аккаунту владельца. Как выяснилось позже, достаточно иметь даже не копию паспорта, а грубую подделку копии. В моем случае вор прислал фальшивку, в которой было множество ляпов: неверная дата выдачи, код подразделения, подпись, чужое фото, а дата регистрации по месту жительства оказалась ранее даты рождения. К “копии паспорта” было приложено отсканированное заявление (тоже требование hts), в котором вор просил дать доступ к аккаунту, на котором находится сайт, и подписался совершенно не так, как в присланной “копии”. Мою просьбу об официальном объяснении в hts выполнили, правда указали, что некто прислал копию паспорта, а не фальшивку.

Являюсь клиентом hts с 2008 года. Такой халатности, как сброс двухфакторной авторизации, не ожидал, ведь можно было позвонить, посмотреть логи заходов, хватило бы даже внимательного просмотра “копии паспорта”… Никаких извинений и компенсации от hts не получил, правда и не требовал.

После получения доступа к серверу, пришло понимание того, что сайт находится на другом хосте. Whois говорил об изменении регистратора, а также NS.

Домен украли


В админке регистратора увидел, что домен принадлежит мне, NS — тоже мои.

Ранним утро субботы позвонил регистратору R01 и получил следующую информацию: “Вы — владелец, не переживайте”. Но как не переживать, whois показывает, что изменен регистратор и NS! Повторный звонок в R01 подтвердил мои опасения, домен был перенесен к другому регистратору (международные домены передаются через интернет, без документов), в админ-панели информация обновляется с большим опозданием. На вопрос: «Что делать?», предложили написать тикет и дожидаться понедельника (юридический отдел работает по будням).

Как дожить до понедельника тогда — я не знал. Сердце ёкало, бросало то в жар, то в холод, в голове кружились сумбурные мысли.

Как украли домен


Пароль от почты и у регистратора не был изменен, что говорило о том, что вор их узнал, а сделать это можно было лишь при взломе моего компьютера. Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов), а пароль от почты можно было взять в почтовом клиенте Thunderbird.

Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.

Мой компьютер работал под Win10, стоял Avast. В домашней сети было еще два компьютера (Win7 + Avast). Один из них и был взломан, на роутере вор настроил проброс портов с этого компьютера.

6 мая мошенник зашел в мою почту, настроил спам-фильтры и после этого все письма от регистратора стали попадать в папку «Спам», поэтому предупреждения о смене регистратора я не видел. Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.

В личном кабинете регистратора была инициирована передача домена к другому регистратору (internet.bs) на аккаунт мошенника.

Кража международных доменов


В сети описано множество подобных случаев и лишь малая часть имеет happy end. Руководства к действию не нашел, поэтому стал писать письма и личные сообщения на форумах людям, столкнувшимся с кражей домена TLD. Один из ответивших, Дмитрий, вызвался помочь за вознаграждение. Я согласился, так он стал моим консультантом.

Случай Дмитрия был идентичным моему, прослеживался почерк мошенника. Телефонная беседа вселила оптимизм. Он рассказал о своем опыте. Ему удалось вернуть домен через нового регистратора (internet.bs). В течение 3 месяцев он вел переписку с “abuse team” (юридический отдел), при этом постоянно обращался в online-чат службы поддержки (по его словам, это ускоряет процесс) и – о, Чудо! (как выяснилось позже, это было именно Чудо), internet.bs вернул домен!

Руководство к действию для возврата домена через регистратора:

1) Старый регистратор должен написать новому о том, что клиент не согласен с передачей домена.
2) Написать самостоятельно письмо новому регистратору и коротко указать о проблеме, при этом сослаться на письмо старого регистратора (номер тикета). Ответ от internet.bs (именно туда чаще всего переносят краденые домены) будет в течение 3-4 рабочих дней.
3) Вести переписку с новым регистратором и предоставлять доказательства своей правоты. Очередного письма от internet.bs можно ждать неделями, забегая вперед — я так и не дождался финального письма.

По оптимистичному прогнозу Дмитрия ждать возврата домена стоило не ранее, чем через месяц. Поэтому я решил восстанавливать работу сайта на новом домене.

Восстановление работы сайта


В ночь с субботы на воскресенье практически не спал и с рассветом решил действовать. Восстановил сайт на домене, зарегистрированном с вечера. Выбрал адрес в зоне RU, полностью идентичный старому, убрав точку перед org.

На новом форуме написал обращение к пользователям и подкрепил его своей фотографией с новым адресом сайта.

Затем разослал письма зарегистрированным пользователям (~14 000 чел.), но, как оказалось потом, из-за ограничений hts письма были отправлены не всем, поэтому позже отправлял повторно.

В тот момент я не верил, что сайт на новом домене сможет заменить постояльцам старый. Зачем им уходить? Однако дружное сообщество меня поддержало.

Вскоре на старом форуме в теме о глюках, которые возникли при краже базы, о полученном от меня письме отписался первый человек, потом второй… Далее активизировался “воришка” (так мы его прозвали), который не потрудился зарегистрироваться, а писал от моего имени и с аватарой, на которой находилось мое фото. Ранее он уже отвечал, что глюки связаны с переездом. Воришка назвал меня лжецом, сообщил всем о том, что сайт продан и теперь он — законный хозяин, а в качестве доказательства предоставил скриншот письма, где я благодарю его за покупку, и пригрозил судом. Однако поверили вору немногие, люди задавали вопросы, поэтому воришка принялся удалять «неудобные» сообщения и блокировать неугодных пользователей.

В первый день на новый форум перебрались несколько десятков человек, однако часть из них продолжала общаться и на старом. Большая часть форумчан поначалу с недоверием отнеслась к новому сайту, кому-то не хотелось сидеть на безлюдном форуме (20 человек online против 500+). Ситуацию помогли изменить активисты из числа перешедших на новый форум, они писали личные сообщения, письма, обзванивали знакомых. Один только модератор Дмитрий, который первым сообщил мне о глюках, написал несколько сотен сообщений и писем. Чтобы высказать протест, люди удаляли свои сообщения на старом форуме, редактировали их, оставляя ссылки на новый сайт, создавали темы о краже сайта, которые впрочем быстро удалялись, а пользователи блокировались. К середине недели новый форум стал домом для более 70 активных участников, при этом новых сообщений на нем было уже больше, чем на старом.

Старый форум жестко модерировался, новый адрес попал в спам-фильтр. Воришка под разными никами агитировал как на подконтрольном форуме, так и на новом. Одно из его сообщений: “100 сбежавших крыс с корабля ничего не изменят, ведь форум посещают более 10 000 человек”. Вор не учёл, что именно эти 100 человек и делают форум.

Полиция


Несмотря на то, что о результативной помощи полиции при краже международных доменов информации я не нашел, а о бездействии писали многие, решил всё же попробовать. Позвонил в полицию, дежурный рекомендовал обратиться в отдел К, занимающийся расследованием преступлений в области ИТ. Дозвонился до этого отдела в понедельник 22 мая и меня отправили писать заявление в областное УВД, на имя генерал-майора полиции. Составил заявление, дежурный его принял, присвоил входящий номер и сказал ждать звонка. Через несколько дней мне позвонил следователь. В назначенное время я пришел в кабинет к сотруднику отдела К, им оказался молодой парень по имени Андрей, он выслушал меня, задал несколько вопросов, после чего я понял, что следователь не силен в терминологии и имеет лишь поверхностные знания в этом вопросе.

Мое заявление с описанием случившегося (страница А4 печатного текста) лежало у него на столе, но видимо для дела этого оказалось недостаточно. Нужны были подробности, поэтому пришлось диктовать расширенную версию, которая начиналась с того, что сайт был создан тогда-то, описывалось, как я узнал о краже и т.п. В итоге получилось 3-4 страницы текста. Во время совместной работы Андрей проявлял заинтересованность, казалось, что он хочет помочь. Я предложил ему сделать запросы в Яндекс и Google, так как на сайте были размещены блоки Adsense и Директ мошенника. Также попросил обратиться к хостеру (MCHost). Передал скриншоты из Mail.ru, где были видны входы с ip адресов из Польши, а также объяснительную от моего хостера и логи действий мошенника на хосте. Через две недели позвонил Андрею, он сказал, что скоро дело передадут в отделение полиции моего района, откуда мне позвонит следователь. Прошел почти месяц, но никаких звонков не поступало. Тогда я позвонил в районное отделение, где меня отправили в областное управление, а оттуда — в районное. Вновь позвонил Андрею, он сообщил, что раз не могут найти, то скорее всего в возбуждении уголовного дела отказано, и для моего случая это — частое явление! При повторном звонке в областное УВД я настаивал на получении информации, на что получил ответ от дежурного, что у него нет времени рыться в журналах и предложил ждать письмо.

Письмо об отказе действительно пришло, получил я его спустя 2,5 месяца после подачи заявления, но об этом — ниже.

Разбирательство с регистраторами


Дождался понедельника, 22 мая, и позвонил в R01. В тот момент я уже знал, что R01 — не мой регистратор, а всего лишь реселлер. Регистратором домена был PublicDomainRegistry, это я обнаружил, просматривая архивный whois.

Трубку в R01 взяла Ирина, выслушала меня и сказала, что передача домена прошла без нарушения регламента. То, что не умею хранить пароли, — это моя проблема. Я рассказал о том, что являюсь их клиентом с 2003 года, затем объяснил про взлом почты, после чего девушка попросила доказательства, сказав, что они пригодятся для обращения в ResellerClub (дочернее подразделение PublicDomainRegistry), именно с этой компанией у R01 заключен договор.

Получить подтверждение взлома почтового ящика в mail.ru оказалось невозможно. Ответ был получен в течение суток: “К сожалению, мы не предоставляем подобных услуг”. Других доказательств взлома кроме скриншотов, на которых видны входы из Варшавы, у меня не было, поэтому отправил их в R01, затем позвонил (вторник, 23 мая). Разговаривал снова с Ириной, как и во все последующие разы. Девушка была вежлива, сказала, что свяжется с бывшим регистратором и сообщит ему о моем несогласии. Не получив письма, в понедельник, 29 мая, снова позвонил в R01, Ирина сообщила, что пока не получила ответа, и тогда я попросил написать в internet.bs.

На следующий день Ирина переслала письмо, полученное от internet.bs, в котором сообщалось, что они готовы к диалогу лишь с регистратором (PublicDomainRegistry).

6 июня наконец получил письмо от R01 следующего содержания: “Получили ответ от нашего “аккаунт-менеджера” о том, что нам скоро ответят. Ожидаем ответ.”

9 июня пришло позитивное письмо, в котором говорилось, что Logicboxes готов к TDRP (Transfer Dispute Resolution Policy), процедура будет стоить 300$. Конечно, я был согласен заплатить эту сумму за восстановление справедливости. Ирина приложила к письму текст, который я был должен отправить в logicboxes.com (еще одно подразделение регистратора). Письмо отправил в тот же день, однако ответ так и не пришел.

20 июня я позвонил в R01, Ирина пообещала написать еще письмо в ResellerClub.

23 июня R01 снова получил «отписку» от аккаунт-менеджера, где тот извинялся и уверял, что скоро займется проблемой.

28 июня R01 в очередной раз получил письмо, в котором аккаунт-менеджер уже сообщал, что не стоит больше обращаться в logicboxes.com, поможет отдел по урегулированию споров PublicDomainRegistry.

Тем временем заканчивался 60-дневный срок блокировки домена, по завершению которого вор мог передать домен очередному регистратору. Я составил жалобу в ICANN и начал активно звонить в R01. Ирина снова написала письма регистратору и в его дочерние структуры.

И – о, чудо! 13 июля, за несколько дней до окончания периода блокировки домена, я получил письмо от Abuse Mitigation Team PublicDomainRegistry в котором говорилось, что они инициировали разбирательство.

14 июля пришло письмо от Internet.bs, в котором было сказано о том, что с ними связался прежний регистратор и разбирательство уже идет. После этого письма к статусу домена clientTransferProhibited (запрет трансфера) добавился clientUpdateProhibited (запрет на редактирование).

27 июля получил письмо от PublicDomainRegistry, в нем сообщалось, что internet.bs не желает возвращать домен. Далее в письме последовало предложение воспользоваться процедурой UDRP или обратиться в суд.

В этот же день я написал письмо в internet.bs с описанием ситуации и предложением компенсировать расходы на разбирательство. 11 августа пришел ответ: “Наш клиент утверждает, что купил домен”.

Тогда я написал еще одно письмо, в котором привел имеющиеся у меня доказательства и попросил предоставить подтверждающие покупку документы. 15 августа получил ответ: “Мы получили письмо, в ближайшее время свяжемся”. По прошествии 10 дней ожидания обратился в online-чат службы поддержки internet.bs, где мне сказали: “Тикет в работе, ждите ответа”. Статус тикета не изменился и еще через 3 недели, после чего решил обращаться в WIPO.

Роскомнадзор


22 мая мне пришло письмо, якобы от Роскомнадзора. В нем говорилось, что поступила жалоба от правообладателя (был указан мой прежний адрес сайта) и требование удалить 3 страницы содержащие профильные книги времен СССР, одна из которых была отсканирована мной лично (изображения содержали вотермарки). Возмутившись, я написал ответное письмо, на что получил отписку: “Разбирательствами мы не занимаемся. Если от владельца сайта поступит претензия в адрес копии сайта, то последует блокировка”. Поскольку главным в тот момент для меня был форум, эти страницы я снял с публикации. Увидев эффект, 31 мая воришка написал еще одно письмо от имени Роскомнадзора, в котором было требование удалить содержание сайта. Не дожидаясь блокировки, на главной странице нового сайта вместо контента опубликовал информацию о краже, а форум закрыл для просмотра незарегистрированными пользователями, кроме одного раздела — “Кража домена”. Сам же принялся звонить в федеральный Роскомнадзор, однако горячей линии по вопросам заблокированных сайтов там не существует. Тогда позвонил в региональный, но ответивший специалист оказался некомпетентен. Выслушав мою историю, ответил: “Раз пришло письмо, значит заблокируют”. В тот же день я отправил заявление в прокуратуру, а через несколько дней для уверенности — в Генеральную прокуратуру. Первым пришел ответ из Генпрокуратуры (13 июля) по электронной почте, ответ от региональной прокуратуры я получил по почте днем позже. Оба информировали: “Роскомнадзор не имеет отношения к письмам о блокировке вашего сайта”.

Вор зарегистрировал домен очень похожий на официальный Роскомнадзора, создал на нем фишинговый сайт с формой обратной связи. Письма отправлял, используя ящик, созданный в этом домене, и использовал шаблон Роскомнадзора.

Следует знать, что Роскомнадзор блокирует сайты лишь по решению суда. Правообладатель должен выиграть суд, и лишь тогда может последовать блокировка.

Новая Моторка


После известия из прокуратуры вернул сайт к прежнему виду, открыл форум для незарегистрированных посетителей. К этому времени старый форум уже опустел, он по-прежнему был посещаем (с поиска заходили тысячи человек), но, кроме сообщений от вновь зарегистрированных, там практически уже было нечего читать. Многие из этих сообщений были вопросами в старых темах, авторы которых писали, что ответят на Новой Моторке.

Новый форум к этому времени уже жил привычной жизнью, люди просто общались, обменивались опытом, возросло количество сообщений от вновь зарегистрированных. Посещаемость превысила 700 человек в сутки, лишь около 10% из них были с поиска.

Видя бесперспективность борьбы за форум, воришка стал модерировать набегами, сообщения о новом адресе висели по нескольку дней. Начиная с августа, они могли висеть больше недели, воришка стал лениться удалять одиночные сообщения о новом форуме, и именно тогда я активно включился в борьбу на старом форуме. Пару раз в день писал в каждой теме с новыми сообщениями о краже сайта и о новом адресе, ссылку ставил через (goo.gl), так как url был добавлен в спам-фильтр. Воришка периодически удалял сообщения вместе с ником, поэтому снова регистрировался и восстанавливал не менее 20 последних сообщений. Уже через несколько недель такой работы старый форум практически перестал пополняться полезными сообщениями.

Вор продает сайт


С момента кражи получил три письма от людей, которым пытались продать сайт. Все они нашли через поиск новый сайт и отказались от покупки. Непосредственно на Телдери сайт не продавался, но именно там его предлагали заинтересованным в покупке похожих сайтов.

Постановление полиции


Вестей от полиции дождался лишь 8 августа: “За время проведения проверки ответы на запросы получены не были, вследствие чего установить неизвестное лицо не представилось возможным, однако установлено, что хостинг регистратора “internet.bs”, осуществляется компанией CentralNic South Site, расположенной по адресу UK, London (т.е. вне юрисдикции ОП-3 МУ МВД России Иркутское). Установить сумму причиненного материального ущерба гр. Ч., за время проведения проверки не представилось возможным, так как не предоставлены соответствующие документы по приобретению домена, хостинга, создания сайта, а также не установлено, сколько лиц посещало данный сайт, реклама на сайте и т.п. Не проведена экспертиза ПК гр. Ч. Принимая во внимание вышеизложенное, состава преступления, предусмотренного ч.1, ст. 158 УК РФ, не усматривается и, руководствуясь п.1 с. 1 ст.24 ст. ст. 144-145 и 148 УПК РФ, постановлено отказать в возбуждении уголовного дела”.

Обжаловать постановление я не стал.

WIPO


Так и не дождавшись обещанного ответа от internet.bs, я решил обратиться в ВОИС (Всемирная организация интеллектуальной собственности). Процедура UDRP в WIPO хорошо отработана.
Заявитель оплачивает пошлину в размере 1 500$ (один арбитр), 2 000$ (три арбитра). Я оплатил 1500$, на сайте wipo.int, используя банковскую карту.

От самостоятельной подачи иска отказался, доверился юристу, которого порекомендовал мой консультант Дмитрий. На тот момент Евгений (юрист), помог вернуть три сайта.

Со слов Евгения, проще вернуть домен популярного сайта. При суммарной посещаемости более нескольких миллионов человек можно говорить о незарегистрированном товарном знаке, что практически приравнивается к зарегистрированному.

Иск был подан 15 сентября, арбитраж назначен на 5 декабря. Однако состоялся только 14 декабря, задержка в 1-2 недели — частое явление.

15 декабря пришло сообщение от WIPO, где было сказано о том, что домен должен быть передан заявителю. 19 декабря пришло электронное письмо с подписанным решением суда.

20 декабря получил письмо от Internet.bs, в котором говорилось о том, что решение WIPO может быть обжаловано владельцем домена в течение 10 рабочих дней, в случае, если этого не произойдет, регистратор приступит к выполнению решения суда после 8 января. В итоге контроль над доменом я получил 12 января, уведомлений по почте об этом не было, просто передали домен на мой аккаунт.

Как обезопаситься от кражи домена


1) Скрыть информацию о домене. Публично не афишировать почту, на которую зарегистрирован домен.
2) Доступ к почте должен быть защищен двухфакторной авторизацией.
3) Домен следует регистрировать у регистратора с хорошей репутацией.
4) Вход в аккаунт регистратора должен осуществляться посредством двухфакторной авторизации.

Если украли международный домен


Как можно раньше восстанавливайте работу сайта на новом домене и уведомляйте пользователей.

Регистратор, принявший домен, не заинтересован в его возврате. Кроме того, он несет ответственность перед ICANN, поэтому в случае отъема домена без решения суда, может сам понести наказание, вплоть до лишения аккредитации.

Считаю, что тратить время на разбирательство не стоит, следует сразу обращаться в WIPO или какой-либо другой суд.
Поделиться публикацией
Комментарии 117
    +5
    Детектив со стрельбой и погонями.
    «Ограбление по.....».
    И сейчас все дружно пойдут смотреть предмет тяжб.
    Сайт не упадёт?
      +16
      Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.

      Великолепно. Забыл как-то отключить VPN и потом неделю мудохался с поддержкой, доказывая, что почту не взломали и её нужно разблокировать. А тут заходи с польского IP (параллельно с реальным владельцем), делай что хочешь…

      Что-то не то у mail.ru с подходом к защите.
        0
        У меня постоянно мэйл почту ломают, я не имею понятия как и откуда. Стоит Eset SS. Все правила просматриваю перед добавлением.
        Пользуюсь мэйлом только для одноразовых регистраций и тестов, так что не парюсь.

        Но просто как-то заходят, даже если меняю пароль через неделю входы.
        Только 2-х факторная авторизация помогла, просто надоело.
          0
          С рамблер почтой тоже самое. У меня стим аккаунт пытались украсть. Сменил пароль одновременно на рамблере и стиме после инцидента, буквально через три дня опять вход в стим.
          Есть подозрение, что у хакерствующих подлецов есть доступ к базе, что они имеют хэш и пароль соответственно могут в оффлайне подбирать.
          Почти одновременно с этим вход в микрософт live account, который к этой рамблер почте привязан, но я пользуюсь другим, тот создавал давно, не помню зачем, поэтому пох.

          Поменял еще раз, сделал разные пароли на рамблер и стим, пока какое то время ничего нет.
          Нет у меня памяти чтоб помнить тучу разных паролей, поэтому многие мои аккаунты имеют одни и те же пароли. Всего несколько разных у меня.
            +7
            Нет у меня памяти чтоб помнить тучу разных паролей

            Зато она есть у компьютера. Юзайте парольные менеджеры.
              0
              Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов), а пароль от почты можно было взять в почтовом клиенте Thunderbird.

              При наличии данной защиты не сильно помогло.
              Хотя если имеете ввиду иные менеджеры, то… в общем индивидуально это все и пароли лучше все таки запоминать. Лет 10 назад тоже было сложно помнить 4-5 паролей, сейчас помню около десятка паролей + парочку ключей на Виндовую лицензию ))) Неактуальные ключи весьма не плохи в качестве пароля.
                +1
                Давайте внимательно рассмотрим приведённую вами цитату
                Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов),

                Шесть, Карл! Они брутятся на любом вычислительном устройстве сложнее калькулятора за секунды.
                Естественно на менеджер паролей нужно ставить пароль подлиннее, зато он будет один. И менеджеры паролей содержат защиту от перебора. Например, мой KeePass при установке пароля провёл вычисления и предложил чуть больше 10 млн хеширований пароля, для того, чтобы задержка на открытие на моём ПК составляла секунду, что сильно усложнит взломщику перебор по словарю. Вряд ли браузер содержит подобные методы защиты.
              +4
              Есть подозрение, что у хакерствующих подлецов есть доступ к базе, что они имеют хэш и пароль соответственно могут в оффлайне подбирать.

              Возможно у вас на PC/телефоне троян. Он и ворует пароли.
                0
                С гугловой почты не ворует, хотя именно к ней привязан и стим и винда.
                +2
                Коллеги, а вы случаем не на винде без обновлений сидите?
                  0
                  … кроме винды — антивирус не как в статье?
                    0
                    Я с обновлениями, винда лицензионная. Антивирусы не использую, кроме вин-дефендера дефолтового.
                +3
                Вы всё еще кушаете кактус?) У меня mail.ru стал просить телефон как-то после поездки в другой город с ноутбуком, залогиненным в почту, якобы для пущей безопасности, 2FA, ага. В почту не давал войти. На том и распрощались.
                  +4
                  Ради терабайта в облаке.
                    +2
                    Да они так-то правильно делают. Судя по тому, сколько у них орущих везде в комментариях людей, потерявших доступ к почте. В таких ситуациях нужен второй фактор. Для одной не очень нужной почты я просто добавил резервный адрес почты и никаких проблем :)
                      0
                      Ага, я включил двухфакторную авторизацию и Gmail не мог собрать почту (mail.ru требовал вход через браузер). Отключил — сразу научился.
                      В итоге плюнул — все самое важное уже давно перенес на gmail. mail.ru как история того, чего делать не надо)
                    0
                    Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.


                    Специалистом в области ИБ не являюсь и вероятно потому возникает вопрос, как такое вообще возможно, нет ли вины провайдера?
                      +2
                      Нет, это вина производителя роутера. Вот схожая уязвимость в устройствах Netgear:
                      Обнаруженная уязвимость допускает удалённое выполнение команды на маршрутизаторе, если пользователь откроет в браузере веб-страницу с вредоносного сайта или с нормального сайта, вместе с которой загрузится вредоносный рекламный баннер через AdSense или любую другую рекламную сеть. По локальной сети можно инициировать удалённое выполнение команды простым запросом к маршрутизатору.


                      А вот D-Link:
                      В прошивке беспроводных маршрутизаторов D-Link обнаружена критическая уязвимость, позволяющая инициировать выполнение на устройстве произвольной shell-команды через отправку специально оформленного HTTP-запроса, без прохождения аутентификации.
                        +1
                        А я всё равно не понимаю, как даже получение полного контроля над роутером может помочь в краже пароля от почты. Подскажите, пожалуйста.
                          0
                          В статье же написано. К роутеру были подключены несколько ПК. Злоумышленник получил возможность взломать один из них. Настроил проброс портов. Тем самым, если очень упрощенно, компьтер стал «светить» портами в Интернет. Видимо, не были установлены обновления безопасности и удалось его «взломать» (например, был открыт нужный порт и не установлена заплатка).

                          То есть, роутер выступил в качестве точки проникновения в локальную сеть.
                            0
                            Окей, один из компьютеров в локалке взломан.
                            Как это повлияет на возможность взлома других компьютеров?
                              0
                              Например, можно переназначить адреса почтового сервера на свои.
                                +3
                                Откуда ssl-сертификаты достанете для переназначенного домена?
                                  0
                                  Очень многие не используют tls соединение или вообще стоит «доверять всем». Есть большой шанс, что не надо даже с сертификатами заморачиваться.
                                    0
                                    Человек, который не разбирается в компьютерах, «доверять всем» не сможет — не сумеет настроить.
                                    А который разбирается — не будет.
                                      –1
                                      Там часто просто кнопка типа «Trust all».
                                      А если не использовать tls, то тоже особо много «не разбираться» не надо, что бы было без шифрования и проверок по-умолчанию.
                                0
                                А и не надо, если везде один акк файрфокса (он через своё облако синхронизирует сохранённые пароли между компами)
                                  0
                                  Мы не знаем, что было на взломанном компьютере. Возможно, с него автор тоже работал, там остались логины-пароли.

                                  Гадать через интернеты трудновато.
                                    0
                                    Другими компьютерами не пользовался.
                            +1
                            Вины провайдера нет, т.к. он предоставляет доступ к ресурсам интернета и не несёт ответственности за сохранность данных на ваших устройствах.
                              0
                              А если бы роутер был от провайдера?
                                +3
                                Если вы хотите углубиться в данную тему. То конечно же в идеализированном мире все определяется договорными отношениями. Если вы при заключении договора с провайдером пропишите соответствующую строчку по типу «Провайдер возмещает в полной мере ущерб причиненный от взлома устройств подключенных по каналу связи провайдера и/или при использовании оборудования и провайдер его со своей стороны подпишет. То при возникновении подобной ситуации вы сможете на что-то рассчитывать. Останется только доказать что взлом произошел именно по этому каналу. По факту ни один провайдер не пойдет на подписание такого договора
                              0

                              Интереснее что за роутер такой?

                                +1
                                D-Link DIR-615
                                  0
                                  Я помню как гостили у родителей жены и мы приехали к ним ночью. Про интернет спросить забыл, поэтому в 2 часа ночи, когда уже все спали похакал их роутер (там был какой то длинк простой, к которому я проводом подключился, благо был провод к сетевому диск, похакал админку, узнал пароль от wifi)
                                    +1
                                    Кнопки WPS снаружи не было?
                                      0
                                      Без кнопки WPS нет представителя кошачьих, использующего элетротехнический прибор.
                              +4
                              Руководства к действию не нашел

                              Ну, теперь есть и очень даже подробное. Спасибо за статью!
                                0

                                Думал, такое только в кино бывает. Спасибо за отличную статью.


                                Вопрос: если не секрет, сколько всего по финансам вышел возврат домена? Включая все "комиссии" и вознаграждения.

                                  +6
                                  ~170тр
                                    0
                                    Хостеру предъявлен иск на эту сумму?
                                  +4

                                  Интересная история, особенно про метод взлома интересно. Однако же замечание: Роскомнадзор вполне имеет право блокировать сайты без судебного решения.

                                    +1
                                    Но не может заблокировать по письму-жалобе от правообладателя.
                                    +1
                                    Вспомнил такую же остросюжетную статью на Хабре, как человек онлайн приобрёл за границей 3D принтер и открыл для себя дивный мир Российской таможни.
                                    0

                                    А как вы доказывали факт первоначальной регистрации домена? Чисто теоретически, что было бы, если бы воришка удалил все входящие в ящике?

                                      0

                                      Не думаю, что скрин письма — это сильное доказательство.


                                      Есть же whois, там, думаю, есть информация по предыдущему владельцу.

                                        0
                                        Да, в whois была информация, если privat person, то для доказательства потребует подтверждающее письмо регистратора.
                                      0
                                      Я уже в который раз читаю эти несомненно интересные истории как уплывают проекты за десятки, а иногда и за сотни тысяч долларов, в том числе кошельки с такими суммами и даже покерные аккаунты. Но если вы зарабатываете в месяц условно 2000-10000+$, почему не купить отдельный ноутбук за несчастные 200-500$, выключить на нем аппаратно: модули wifi и bluetooth, поставить на нем WinXP со всеми обновами или Linux, поставить норм роутер и фаер в которых сделать доступными для входа только 1-2 IP которые вам нужны для вашего проекта, и включать эту машину и этот роутер только тогда когда вам это нужно. Почему так не сделать? Авось пронесет? Да, понятно, что и ее могут взломать, но шансы взлома тогда уменьшатся на порядки, потому что из цепочки уйдет очень много ненужных факторов.
                                        +2
                                        WinXP со всеми обновами

                                        Там не только обновления, но и грамотная настройка нужна, вряд ли автор на такое способен.
                                          0
                                          Да хоть и Windows 7, не знаете как — наймите норм спеца. Главное «закопать» и откапывать только когда это действительно нужно, а так, потенциально:
                                          родные или вы скачали и запустили не тот софт на смарте, вы или ваши родные перешли не на тот сайт, не по той ссылке, не ту картинку посмотрели, не тот файл скачали и все — труд всей вашей жизни уплывает в неизведанные края, а вы получаете головняк на 3-6-8 месяцев, а иногда и вовсе теряете проект, ну и попутно тратите космические суммы, что бы «вернуть все что нажито непосильным трудом», потраченные нервы я тут не описываю, думаю это неописуемо «приятные» ощущения.
                                          0
                                          Мне вот непонятно, что делать когда виноват в том что данные украли совсем не ты?
                                          habrahabr.ru/post/210718

                                          Для подобных случаев лично мне бы хотелось специальных договоров с провайдерами и хостерами, чтобы в них оговаривались все варианты при которых мне могут восстановить «утерянный» доступ.
                                          И желательно логин не по паролю а по pgp ключу.
                                          +3
                                          «Как обезопаситься от кражи домена»
                                          забыли добавить, иметь дома роутер без дыр и хорошей репутацией. Все вроде с него и началось.
                                            0
                                            Зачем у вас разрешён входящий порт 80 на роутере из внешнего мира?
                                            Известно ли, как был взломан комп с Win 7?
                                              0
                                              Я не специалист в области ИБ. 80 порт не был включен. Как был взломан компьютер не знаю, следов взлома не обнаружил, лишь исключения для этого ПК в настройках роутера.
                                                0
                                                Извиняюсь, неправильно понял — увидел выше в комментах ссылку на уязвимость D-Link-ов при обработке входящих HTTP запросов, подумал что роутер через неё взломали.

                                                Тогда я бы не был так уверен, что сначала взломали роутер, а потом win7. Взлом мог начаться с компа с win7, после этого доступ к роутеру дело техники. Для взлома роутера должно сойтись много условий: у вас должен быть внешний IP, злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности), на роутере должен быть вами ДО взлома открыт хоть какой-то порт во внешний мир, а в протоколе, ходящем по этому порту, у роутера должна быть уязвимость. В общем я бы не сбрасывал со счетов банальное хватание вируса на семёрке.
                                                  0
                                                  злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности)

                                                  Размещаем на его форуме изображение, смотрим, кто онлайн и сверяем с логами своего сервера.
                                                    +1
                                                    Через нее и взломали. Есть такой вид уязвимостей — CSRF. Вам присылают ссылку, или подсовывают картинку в рекламном баннере, или как написано выше размещают картинку на форуме — а там редирект на уязвимую страницу в роутере. В итоге ваш браузер делает от вашего имени запрос к роутеру.

                                                    Порт во внешний мир не нужен, достаточно смотрящего внутрь.
                                                0
                                                Класс! спасибо за материал. Пошел менять пароли и включать двухфакторку.
                                                  +9
                                                  Сергей, отличная статья, с вами приятно было работать.
                                                  Я и не знал, что такие мытарства проходят люди, прежде чем обратиться за помощью в WIPO.
                                                  Буду ее показывать колеблющимся )
                                                    0

                                                    Я так понимаю, вы тот самый Евгений из статьи, верно?
                                                    Не думали написать статью какую-то о том, как все эти процедуры проходят с вашей стороны?
                                                    Ну или хотя бы в комментарии рассказать?

                                                      0
                                                      Меня не пропускают через песочницу. Пишут, что реклама ) Думаете сюда статью вставить? )
                                                        0

                                                        Попробуйте без рекламы)
                                                        Но, думаю, тема очень интересная.

                                                          0
                                                          Можно кому-то показать, чтобы сказали где реклама? ) А то вырезал все, что мог, но все равно не вышло ))
                                                            +2
                                                            послал приглашение, пишите пожалуйста. очень интересно почитать про процедуры WIPO
                                                  +3
                                                  Про WIPO как-то мало расказано. Из чего состоял иск? Какие приводились доказательства? И вообще что это за штука, которая имеет такие полномочия?
                                                    0
                                                    Точно, было бы интересно почитать. Эдакий Ночной дозор. «Всем выйти из сумрака!»©
                                                    0
                                                    Как Вы думаете, в чём состоял интерес взломщика? Заражать компьютеры посетителей Вашего сайта? Или Вы на этом сайте что-то продавали и были финансовые потоки?
                                                      0
                                                      Я конечно не автор, но, как я понял, трафик на сайте был — соответственно, можно и рекламу размещать (он пробовал), и сайт продать попробовать (тоже пробовал). Ну и гадостью заразить тоже, если предыдущие варианты не дадут существенного дохода.
                                                      UPD: а еще мог дорвеев там нагенерировать — сайт возрастной, явно имеет «вес» в глазах поисковиков, могло что-то выгореть и с этого.
                                                        0
                                                        Пардон. Мой вопрос не на тот уровень попал. Мой вопрос был к автору. Может он тоже выскажется?
                                                        Про Ваши соображения. Первые два мне представляются сомнительными. Мне кажется так много денег не заработаешь. Хотя я и не имею точных цифр.
                                                        Знает кто-нибудь, сколько может подобный сайт заработать на рекламе?
                                                        Вариант с рекламой также потому сомнительный, что вредитель засветится в контракте с рекламодателем.
                                                          0

                                                          Может зарабатывать и зарабатывает не всегда одно и тоже. Вор получил сайт с посещаемостью более 10000 человек в сутки, обвешал его рекламой Adsense и Я.Директ. Аппетиты увеличивались постепенно, в итоге баннеров было столько, что они занимали весь первый экран, и не только. С прямой рекламой вор дел не имел, хотя долгое время не снимал размещенные мной баннеры от прямых рекламодателей, тем самым показывая потенциальным покупателям сайта, что ресурс интересен не только рекламным сетям.

                                                            0
                                                            Во первых, спасибо за интересную статью.
                                                            А во вторых, если не трудно, поясните, как можно получать за показываемые баннеры деньги не раскрыв свой идентитет? Иногда рассказывают о цепочках фиктивных фирм, про поиск добровольцев получать деньги через Western Union.
                                                            Но это уже всё серьёзные масштабы.
                                                            Возможно вор надеялся Вас пошантажировать и вернуть своё за деньги?
                                                              0
                                                              На поддельный паспорт он мог получать их. Если он отправил поддельный скан паспорта в поддержку — что мешает повторить тот же трюк с Adsense и Директом?
                                                                0
                                                                При желании по идентификаторам Adsense и Я.Директ можно было выйти на след вора, но полиция этим не стала заниматься.
                                                        0
                                                        Ничего себе история. Прочитал полностью! Серьезный жизненный опыт получен.
                                                          +2
                                                          Я вибрировал от чтива, спасибо автору.
                                                            0
                                                            internet.bs — один из самых абузостойких регистраторов. Это известный факт.
                                                            PS: не являюсь веб-мастером, но мои клиенты, сеошники бывало попадали с ним.
                                                            Этот регистратор занимается самоуправством в отношении доменов своих клиентов.
                                                              +3
                                                              Дорогое удовольствие заявку написать в WIPO, видимо, только если домен очень нужен.
                                                                +1
                                                                Именно поэтому я никогда не пользовался r01 и подобными и никому не рекомендовал, а все домены которые были там зарегистрированы знакомыми или клиентами всегда переводил на другого регистратора.
                                                                Мой основной регистратор это nic.ru, там так домен не украсть, даже имея доступ к почте владельца домена или даже к аккаунту nic.ru владельца, домен не украсть… :)
                                                                  +1
                                                                  Претензий к R01 у меня нет, они делали все возможное чтобы помочь мне. На момент регистрации домена R01 работал как реселлер PublicDomainRegistry, после сам получил аккредитацию. Кстати, R01 входит в одну группу компаний с Nic.ru. Огорчает, что в R01 нет двухфакторной авторизации, впрочем как и у большинства регистраторов.
                                                                    0
                                                                    У nic.ru есть услуга.
                                                                    Все действия с доменом совершаются только при личном присутствии в офисе регистратора. Хотя это коенчно не остановит ни от чего.
                                                                    Вопрос почему были выбран Avast он, что есть, что его нет, прохоной двор на компьютере.
                                                                      0
                                                                      А почему не остановит ни от чего? Они по идее должны как в банке паспорт и внешность сверять.
                                                                  0
                                                                  Спасибо за статью! Удачи автору!
                                                                    +1

                                                                    Кастрировать сразу, а потом долго пытать людей, которые занимаются такими мерзкими делами! Жалко что не поймали его. Очень часто такого рода люди остаются безнаказанными

                                                                      0
                                                                      А Вы не пробовали сложить все затраченные деньги и предъявить это всё в hts.ru? Насколько я понял в случившемся как минимум половина вины лежит на них, ведь по их вине у злоумышленника оказалась БД и код, т.е. фактически копия проекта.
                                                                      Скажите, если бы у Вас украли только домен и Вы бы запустили проект на новом, стали бы вы судиться и тратить столько денег, для возврата старого домена?
                                                                        +1
                                                                        После явной халатности хостера удивляет, что вы всё ещё у них.
                                                                        Также сбросьте всем пользователям пароль — копия базы могла у злоумышленника ещё остаться и кто знает как там эти пароли хранятся.
                                                                          0
                                                                          В базе хранятся хеши.
                                                                            +2
                                                                            Хеши дают время на смену паролей — но не спасают от офлайн перебора по словарю.
                                                                              0
                                                                              Пользователям рекомендовал изменить пароли, особенно тем, кто использовал одинаковый пароль с почтой или другими сервисами.
                                                                          –3

                                                                          Ооо да у вас тут группа лиц работала. Вор украл, мошенник перевел. Ужас какой.

                                                                            0
                                                                            По некоторым следам можно найти контакты злоумышленника. А на популярном сео-форуме есть тема, где отписалось несколько человек, пострадавших от его аналогичных действий.
                                                                              +1
                                                                              Я тоже провел свое расследование. Нашел информацию в истории whois одного из доменов с таким же ящиком как у вора и украинским тел. номером.

                                                                              В декабре со мной связался еще один бывший владелец домена, на страницах украденного у него сайта вор установил Adsense с тем же идентификатором, что и на моем сайте. Дмитрий, так зовут пострадавшего недавно писал о своей истории на Хабре, в его случае вор передал домен на другой аккаунт reg.ru. Под давлением регистратора Дмитрий снял статью с публикации.
                                                                                0
                                                                                У вас теперь есть сумма ущерба, 170 тыс. рублей. Есть решение суда, что домен был у вас украден. Есть идентификатор адсенса. Попробуйте еще раз. Может быть есть возможность обратиться в полицию другой страны?
                                                                                  +2

                                                                                  Было бы интересно почитать про давление от регистратора. Статью все еще можно увидеть тут: https://sohabr.net/habr/post/343786/

                                                                                0
                                                                                Хотел подзабить в этом году на WhoisGuard. После прочтения одумался. Спасибо!
                                                                                  0
                                                                                  Обиднее всего, что вор остался ненаказанным.
                                                                                    0

                                                                                    Ну а как же, все шумят и недовольны, когда правоохранительные органы обращают внимание на интернет, говорят — сами разберёмся лучше. Вот они и не обращают по возможности. Если бы было полноценное регулирование и заметная практика ведения дел по причинам нарушений в интернете, думаю автора бы так не отослали из полиции.

                                                                                      +1
                                                                                      Все шумят и недовольны не тогда, когда государство обращает внимание на интернет, а когда оно туда лезет гремя шваброй и ломом, не понимая как все работает.

                                                                                      В данном виде действительно сами разобрались лучше, ибо правоохранительные органы по сути в этой статье даже в терминологии не особо разбирались.
                                                                                    +2
                                                                                    Я вот удивляюсь насколько иногда в людях деструктивное преобладает над конструктивным. Это же сколько сил потратил вор! Получить доступ через сетевую уязвимость к ноуту, вытащить нужные пароли, подделать паспорт, перенести хостинг, домен, изображать из себя админа, модерировать форум, настраивать спам-фильтры и ежедневно банить, прикидываться росокомнадзором, создать фишинговые сайты, почты и в конце тайно продавать проект. И для чего?! Чтобы в итоге всё равно привести форум к запустению! Сомневаюсь что полученная прибыль окупила такие старания. Его бы мучения да в нужное русло! Профит был бы в разы больше.
                                                                                    P.S. Отдельно повеселило как вы прозвали злоумышленника — «воришка». Снисходительно, по-детски мило! Я бы думаю дал ему кличку из тех, что здесь писать не принято. Есть чему у вас поучиться. Спасибо за статью.
                                                                                      0

                                                                                      Не думаю что он хотел развивать ресурс. Сдаётся мне, он просто хотел его продать. А баннеры разместил из жадности. Если бы не они, возможно, хозяин бы не чухнул, время бы прошло и ресурс уплыл бы окончательно.

                                                                                      +5
                                                                                      Чувак, ты же наверняка это читаешь. Будь добр, выйди из тени — расскажи нам так же обстоятельно, как и твоя жертва, о том, как ты всё это провернул, сколько с этого в итоге поимел, кто ещё пострадал так же, как и автор, и, что самое главное, почему у нас такое до сих пор продолжается и будет продолжаться впредь, несмотря на все способы защиты, которые нам рекламируют и продают как панацею.

                                                                                      Можешь без имён, явок и паролей. Один хрен ты останешься абсолютным анонимом, а мы хотя бы одну подобную историю, наконец, непосредственно из первых уст двух противоборствующих сторон послушаем.
                                                                                        +2
                                                                                        Я подумаю :)
                                                                                        0
                                                                                        И это столько суеты со стороны вора ради сайта? Зачем?
                                                                                          0
                                                                                          Бизнес такой. Дело поставлено на поток.
                                                                                          +1
                                                                                          интересно сколько стоит такой сайт 10к в сутки, сколько пассивно приносит, сколько расходы и какие они.
                                                                                            0
                                                                                            Давно мониторю аукционы на Телдери

                                                                                            Есть общепринятая грубая формула: стоимость сайта = доход сайта (руб) * 24
                                                                                            Еще навскидку я так считаю: стоимость сайта = тысяч уникальных посетителей в день * 150 тысяч рублей. Но это примерно.

                                                                                            То ест навскидку и очень грубо получается 1,5 млн. Но зависит от монетизации. А то может быть это курица, несущая золотые яйца.

                                                                                            Сколько приносит — сказать сложно. 100% пассива не бывает. Полюбому надо что-то делать. Даже за модератором надо посматривать, может задурить и распугает активных пользователей. В общем монетизация напрямую зависит от активности.

                                                                                            Расходы скорее всего — оплата работы модератор, домен, хостинг.

                                                                                            –2
                                                                                            >Как обезопаситься от кражи домена
                                                                                            Хранить пароль от регистратора в сейфе на бумажном носителе))

                                                                                            да, интересная история
                                                                                              0
                                                                                              Наша полиция в плане киберпреступности крайне бесполезна. Если что-то украли, то можно забить — пошевелят бумажками, почешут задницы, и напишут «сорян, не могём» или «не интересно, сам виноват дурак». Хорошо ещё если не обсмеют или не скажут в дурку обратиться, хамло совковое…
                                                                                              Даже если дашь им IP, место, имя — они просто ЛЕНЯТСЯ что-то предпринимать.
                                                                                                0
                                                                                                Спасибо за статью. Сменил пароль на reg.ru и добавил авторизацию через sms.
                                                                                                  –1
                                                                                                  Ребята Всем Добрый день! Первый раз здесь! Но решил написать у меня хакер украл домен .com вот думаю может Вы чем нибудь сможете помочь! скорей всего взлом был через mail.ru ах да домен на хостинге reg.ru
                                                                                                    –1
                                                                                                    Как по мне, вся божественная феерия с паролями начинается с «мне трудно запомнить». Будучи всю жизнь параноиком, один раз на всю жизнь придумал себе 64-значный пароль с разнообразными вариациями. Больше 10 лет использую его под разнообразные учётки, и ни разу не подвергался взлому. Правда, один раз в стиме не была подтверждена почта, и какой-то умелец пытался зайти, с тех пор везде, где можно — двухфакторная аутентификация. Да, неудобно, и всё такое, но факт говорит за себя. Правда, один раз узнав его, прощай всё, что я так ценю и люблю, но, как говорили великие — «электрик ошибается один раз».
                                                                                                      0
                                                                                                      А потом этот на каком-то из сайтов пароль сохранят в базу в открытом виде, эту базу кто-нибудь угонит — и ваш любимый пароль станет словарным
                                                                                                        0
                                                                                                        Будучи всю жизнь параноиком, один раз на всю жизнь придумал себе 64-значный пароль с разнообразными вариациями. Больше 10 лет использую его под разнообразные учётки, и ни разу не подвергался взлому.

                                                                                                        И это вместо того, чтобы использовать его для менеджера паролей и юзать на всех сайтах разные зубодробительные пароли?

                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                      Самое читаемое