Как некоторые хостеры и регистраторы доменных имён «помогают» бороться с мошенниками. Личный опыт
Началось всё с того, что в начале апреля при попытке снять квартиру наткнулся на фишингового мошенника и решил его заблокировать.
В итоге всё это вылилось в почти годовое наблюдение, и блокировку 344 доменов.
О мошеннике
Схема классическая: размещается объявление о посуточной аренде на разных площадках, во время общения "клиент" переводится в WhatsApp, где по итогу общения присылается фишинговая ссылка "на оплату" (на самом деле для кражи реквизитов банковской карты и смены телефона в онлайн-банке).
Эта статья не про схему мошенничества, поэтому более подробно со схемой этого мошенника можно ознакомится по ссылкам: раз и два.
Также дам ссылки на примеры фишинговых страниц:
Фишинг под ostrovok.ru:
https://web.archive.org/web/20230402172706/https://ostrovok.id2654625.ru/apartments/1084425
Фишинг под tvil.ru:
https://web.archive.org/web/20230808204602/https://tvil.i192578.ru/apartments/1294537
https://web.archive.org/web/20230808212152/https://tvil.i192578.ru/reserve/1294537
Фишинг под housinganywhere.com:
https://web.archive.org/web/20230508123119/https://housinganywhere.iid33839.site/apartments/3175705
https://web.archive.org/web/20230508123424/https://housinganywhere.iid33839.site/reserve/3175705
Основная проблема данного типа фишинга - это сложность получения адреса фишинговой страницы на следующих доменах, т.к. адреса делаются под "клиента". Поэтому здесь для блокировки упор делается на то, чтобы доказать, что это тот же сайт, только на новом домене, что достаточно просто сделать используя архивные фишинговые страницы на archive.org, но не у всех регистраторов и хостеров есть желание видеть очевидное даже с подробными инструкциями.
О блокировке
Далее перейдем непосредственно к блокировке, которая складывается из блокировки домена и блокировки хостинга.
Блокировка домена
Сразу стоит сказать, что быстро заблокировать домен практически не реально. Также блокировка доменов в национальных доменных зонах в России и в международных доменных зонах сильно отличается.
Национальные доменные зоны .ru, .рф и .su.
Для этих зон у регистратора есть только одно основание заблокировать домен "самостоятельно и незамедлительно" - в случае выявления недостоверности регистрационных данных. Как правило регистраторы не хотят ничего проверять и брать на себя какую-либо ответственность и отправляют в "Доменный патруль" (https://tldpatrol.ru/). В моём случае был только один регистратор, который после получения уведомления от "компетентной организации" по первому домену мошенника - по следующим 6-ти доменам сам проверил регистрационные данные и заблокировал домены.
Однако здесь стоит отметить, что для этих зон если регистратору пришло уведомление через ИС "Доменный патруль", то он обязан заблокировать домен. Эта обязанность прописана в правилах. Для международных зон такого нет, но об этом ниже.
Фишингом в "Доменном патруле" реально занимаются только 3 организации: F.A.C.C.T.(бывшая Group-IB), BI.ZONE и НКЦКИ. Пробовал писать в другие организации, у которых "фишинг" есть в описании, но ответов не получил, также как и действий.
Через F.A.C.C.T. удалось заблокировать только несколько доменов - в какой-то момент ответы перестали приходить (кроме отбивки с присвоением номера заявке), также перестали предприниматься действия.
Последнее письмо от BI.ZONE на скриншоте:
НКЦКИ осталась единственной организацией, через которую до сих пор получается блокировать домены мошенника.
После того, как уведомление отправлено регистратору через ИС "Доменный патруль" нужно чтобы до регистратора это уведомление дошло и он его обработал.
На практике бывают сбои с прохождением уведомлений. Также нет четких сроков обработки уведомлений регистраторами. Кто-то из регистраторов обрабатывает такие уведомления в приоритетном порядке, кто-то в общем и в итоге время блокировки домена растягивается. В моей практике дважды были задержки до недели - в первый раз из за перегрузки отдела регистратора, занимающегося жалобами; во второй раз из за технических проблем с приёмом уведомлений на стороне регистратора.
Международные доменные зоны
Здесь нет четких правил блокировки доменов и каждый регистратор сам принимает решение о блокировке. На практике это выливается в затягивание сроков, а иногда и вовсе в невозможность блокировки доменов.
В случае, когда регистратор в России - можно попробовать написать в организацию "Доменного патруля", но не всегда и "компетентная организация" может помочь заблокировать домен.
Пара примеров из практики
Мошенник зарегистрировал пару доменов booking-partners.ru и booking-partners.online. На домене housinganywhere.booking-partners.online был размещён фишинговый сайт под housinganywhere.com. Все доказательства по сайту были направлены в "компетентную организацию", которая уже связывалась с регистратором. Регистратор заблокировал домен в зоне .ru (т.к. обязан это сделать по правилам), а по домену в зоне .online запустил процедуру верификации регистрационных данных (и это при рабочем сайте с доказательством фишинга через "компетентную организацию") и заблокировал домен только спустя почти 3 недели. Всё это время фишинговый сайт спокойно работал.
Другой пример более свежий. Мошенник у одного из регистраторов регистрирует домены также парой - в зоне .ru и в зоне .store. На домене в зоне .ru он размещает фишинговые сайты под tvil.ru, а на доменах в зоне .store изредка были сайты с фишингом под housinganywhere.com, но чаще мошенник их сразу не использовал.
Одно время регистратор одновременно с доменом в зоне .ru блокировал и домен в зоне .store, но с начала октября почему-то ситуация изменилась и регистратор начал требовать для рассмотрения вопроса о блокировке фишинговые страницы на этих доменах (на момент написания статьи таких доменов набралось уже 27). В итоге мошенник начал использовать домены в зоне .store для другого типа фишинга.
Например, возьмём домены i192856.ru и i192856.store.
i192856.ru использовался для фишинга под tvil.ru (сайт tvil.i192856.ru) и был заблокирован через "Доменный патруль". Проверить, то, что на этом домене был фишинг можно на сайте "Доменного патруля" (https://tldpatrol.ru/domain-security/) введя "i192856.ru".
i192856.store также используется для фишинга по данным Касперского (можно проверить на virustotal.com)
Эти домены регистрировались парой. Все данные есть у регистратора, но регистратор ничего не хочет предпринимать в отношении домена в зоне .store и настойчиво продолжает требовать фишинговую ссылку. Было предложение заблокировать домены через верификацию регистрационных данных - ответ на скриншоте.
Для меня возникает вопрос - что движет регистратором, что он не хочет видеть очевидное и держится за такого "клиента"?
В итоге на следующий день после выхода статьи Beget заблокировал все старые не заблокированные домены в зоне .store. Не знаю что послужило причиной - моё очередное письмо со списком доменов (писал его ещё до публикации статьи) или статья.
Однако по следующим доменам опять пришло сообщение, аналогичное тому, что на скриншоте. Похоже какой-то "человеческий фактор" - один сотрудник блокирует, другой пишет отписки.
Блокировка хостинга
Здесь всё примерно также как с международными доменами. Единственная большая проблема - это то, что практически все хостеры пересылают жалобу в исходном виде мошеннику. Последствия могут быть в виде угроз (например, как на скриншоте ниже в виде фишингового письма), а также в изменении сайта, чтобы затруднить верификацию.
Также здесь есть 2 варианта:
когда IP-адрес сервера известен - выясняем на https://2ip.ru/whois/ кто хостер и отправляем письмо ему
когда сервер скрыт за CloudFlare - нужно писать через форму https://abuse.cloudflare.com/
В моём случае мошенник сначала использовал Российский хостинг без CloudFlare - здесь больших проблем с блокировкой не было, но был один случай, когда поддержка одного из хостеров на присланную фишинговую ссылку прислала вот такой ответ (на скиншоте ниже) - пришлось подключать "компетентную организацию".
Потом мошенник спрятался за CloudFlare. Жалобы, посланные через форму должны пересылаться хостеру. Я, когда сам выяснял реального хостера, дважды уточнял, получал ли хостер жалобы, отправленные мной через CloudFlare и дважды получал отрицательный ответ. С чем связано такое отношение CloudFlare не понятно, т.к. достучаться до реальных людей там практически невозможно.
В итоге на текущий момент мошенник для хостинга использует zomro.com, где служба обработки жалоб прислала первый ответ спустя почти 2 недели и также требует действующую фишинговую ссылку на текущем домене для рассмотрения вопроса о блокировке сервера. Никакие другие доказательства рассматривать категорически не хотят. За это время на сервере побывал уже 21 домен (все были заблокированы).
Ниже скриншоты ответов от zomro.com.
Не знаю есть ли способы повлиять на таких хостеров и регистраторов. Возможно, у кого-то есть опыт в данной области и он сможет им поделится?
Дополнения
Пока статью доделывал и согласовывал произошли 2 события:
Мошенник сходил к другому хостеру и вернулся опять в zomro.com на другой сервер (почему бросил старый сервер не понятно). Написал им по новому серверу - никакой реакции до сих пор так и нет (писал ещё до публикации статьи).
Beget заблокировал 3 домена в зоне .store из последних. Повторно написал им про другие домены - на следующий день (уже после публикации статьи) все старые домены были заблокированы, однако на следующие домены опять пришла отписка в старом стиле.
На текущий момент вроде удалось достучаться до zomro.com и получилось заблокировать сервер.
На середину марта 2024 года регистраторы заблокировали все известные домены.
Ниже в спойлере список всех известных мне доменов мошенника.
Список всех известных мне доменов мошенника
В зоне .ru
id2654625.ru
id14388.ru
id14832.ru
id14728.ru
id14358.ru
id14762.ru
id14724.ru
id14748.ru
id14742.ru
id17432.ru
id14826.ru
id75978556.ru
id14782.ru
id17952.ru
id14862.ru
id14786.ru
id286903.ru
iid397920.ru
id171892.ru
id14328.ru
id171899.ru
id17483.ru
id17582.ru
id14988.ru
id17843.ru
id14382.ru
id146942.ru
id148372.ru
id147682.ru
id174582.ru
id175842.ru
id175462.ru
id3989011.ru
id489276.ru
id175392.ru
id482736.ru
id172956.ru
id196472.ru
id195274.ru
id197253.ru
id195732.ru
id195362.ru
id8759030.ru
id159372.ru
id154892.ru
id157204.ru
id179326.ru
178299.ru
175299.ru
158299.ru
id157926.ru
id178264.ru
174299.ru
157299.ru
id172984.ru
165299.ru
168299.ru
148299.ru
176299.ru
184299.ru
172092.ru
i172952.ru
i172958.ru
i178254.ru
i172654.ru
i178512.ru
i179264.ru
i179246.ru
i179462.ru
i179542.ru
i179582.ru
i179584.ru
i158762.ru
i152768.ru
i158264.ru
i192536.ru
i192578.ru
i175962.ru
i192538.ru
i172549.ru
i192564.ru
193452.ru
i192672.ru
i194278.ru
i192864.ru
i192684.ru
i198742.ru
booking-partners.ru
i192748.ru
i192648.ru
i192768.ru
i192658.ru
i192584.ru
i192738.ru
i192468.ru
i192568.ru
i192784.ru
i192746.ru
i192754.ru
i192586.ru
i192548.ru
i198736.ru
192748.ru
i198746.ru
i192786.ru
i194862.ru
i194826.ru
i192874.ru
i194752.ru
i192758.ru
i192638.ru
192684.ru
i192764.ru
i194728.ru
i194768.ru
i198762.ru
i194872.ru
i194852.ru
i198472.ru
192864.ru
194872.ru
i192856.ru
i194876.ru
i192854.ru
i192486.ru
i194762.ru
i192876.ru
194862.ru
i194658.ru
i192574.ru
i192756.ru
i192785.ru
i192852.ru
i192576.ru
i198752.ru
i198756.ru
179462.ru
192784.ru
198756.ru
192758.ru
192584.ru
194782.ru
192654.ru
192874.ru
192768.ru
192568.ru
192764.ru
192746.ru
192754.ru
198562.ru
198536.ru
198764.ru
198754.ru
192876.ru
192738.ru
192734.ru
197684.ru
192786.ru
192564.ru
192578.ru
194786.ru
192853.ru
192486.ru
192854.ru
192574.ru
194728.ru
192753.ru
197864.ru
194826.ru
192862.ru
i194758.ru
vadimzuraev.ru
vadimzurin.ru
vadimzuin.ru
vadimzuratov.ru
vadimkopin.ru
kopinvadim.ru
vadimsmolov.ru
vadimrosin.ru
vadimrazkin.ru
vadimkonov.ru
vadimrasov.ru
В зоне .store
id17952.store
id14862.store
id14786.store
id171892.store
id146942.store
id148372.store
id147682.store
id174582.store
id175842.store
id175462.store
id175392.store
id482736.store
id172956.store
id196472.store
id195274.store
id197253.store
id195732.store
id195362.store
id159372.store
id154892.store
id157204.store
id179326.store
178299.store
175299.store
158299.store
id157926.store
id178264.store
174299.store
157299.store
id172984.store
165299.store
168299.store
148299.store
176299.store
184299.store
172092.store
i172952.store
i172958.store
i178254.store
i172654.store
i178512.store
i179264.store
i179246.store
i179462.store
i179542.store
i179582.store
i179584.store
i158762.store
i152768.store
i158264.store
i192536.store
i192578.store
i175962.store
i192538.store
i192864.store
i192684.store
i198742.store
i192748.store
i192648.store
i192768.store
i192658.store
i192584.store
i192738.store
i192468.store
i192568.store
i192784.store
i192746.store
i192754.store
i192586.store
i192548.store
i198736.store
192748.store
i198746.store
i192786.store
i192785.store
i192576.store
i198752.store
i194862.store
i194826.store
i192874.store
i194752.store
i192758.store
i192638.store
192684.store
i192764.store
i194728.store
i194768.store
i198762.store
i194872.store
i194852.store
i198472.store
192864.store
194872.store
i192856.store
i194876.store
i192854.store
i192486.store
i194762.store
i192876.store
194862.store
i194658.store
i192574.store
i192756.store
i192852.store
i198756.store
179462.store
192784.store
198756.store
192758.store
192584.store
194782.store
192654.store
192874.store
192768.store
192568.store
192764.store
192746.store
192754.store
198562.store
198536.store
198764.store
198754.store
192876.store
192738.store
192734.store
197684.store
192786.store
192564.store
192578.store
194786.store
192853.store
192486.store
192854.store
192574.store
194728.store
192753.store
197864.store
194826.store
192862.store
i194758.store
vadimzuraev.store
vadimzurin.store
vadimzuin.store
vadimzuratov.store
vadimkopin.store
kopinvadim.store
vadimsmolov.store
vadimrosin.store
vadimrazkin.store
vadimkonov.store
В других зонах
id390133.site
iid33839.site
iid397920.site
booking-partner.site
booking-partners.online
booking-partner.su
booking-hotel.su
booking-hotels.su
booking-page.su
booking-reserv.su
tvil.su
194782.su