Domēna vārda nolaupīšana (domain name hijacking) ir prettiesiska domēna vārda kontroles pārņemšana no tā likumīgā lietotāja. Tā var radīt kaitējumu ne tikai lietotājam un mājas lapas īpašniekam, bet arī tā klientiem, biznesa partneriem, kā arī incidentā iesaistītām trešajām personām vai pakalpojuma sniedzējiem.

Ļaundara motīvs un mērķis ir galvenokārt ātri uzpelnīties, pārdodot jauniegūto domēna vārdu kādai trešajai personai vai izkrāpjot naudu no tā sākotnējā lietotāja. Tālāk pārdoto domēna vārdu ir ārkārtīgi grūti atgūt, jo labticīgais ieguvējs jutīsies pilnīgi likumīgi ticis pie šī vārda un par velti to neatdos, savukārt sākotnējais lietotājs nejutīs vajadzību segt radušos izdevumus.

Sekas kontroles zaudēšanai pār savu domēna vārdu var būt dažādas. Pat vienkārša tehnisko ierakstu maiņa var radīt ievērojamus zaudējumus un draudus uzņēmējdarbībai un uzņēmuma klientiem.

Iegūstot kontroli vai “noklausoties” e-pasta sarakstes, ļaundaris var uzzināt sensitīvu informāciju, kuru vēlāk izmantot komerciālai vai politiskai izspiegošanai. Ievietojot mājaslapā neglaimojošu saturu, izmantojot to ļaunatūras izplatīšanai vai klientu datu iegūšanai, ļaundaris var ne tikai būtiski ietekmēt zīmola reputāciju, bet arī nozagt identitāti un iegūt kontroli pār uzņēmuma darbinieku vai klientu finansiālajiem līdzekļiem.

Lai gan domēna vārdu nolaupīšana nav vienkāršs process, ir vairāki izplatīti veidi, kā uzbrucēji var iegūt sev nepieciešamo informāciju.

Spear phishing“ jeb “šķēpu pikšķerēšana

Šī metode kļūst arvien populārāka, jo ir salīdzinoši lēta un ērta. Lai nozagtu domēna vārda administrācijas paneļa piekļuves datus ļaundaris uzraksta domēna vārda lietotājam pārliecinošu e-pastu ar lūgumu steidzami pārbaudīt sava domēna vārda datus vai veikt kādu citu darbību, kas prasa pieslēgšanos pie datu bāzes (e-pastā iekļaujot saiti uz pikšķerēšanas vietni). Pieslēdzoties visi ievadītie dati un paroles tiek nosūtīt domēna vārda kārotājam.

Uzdošanās par domēna vārda turētāju, izmantojot viltotas pilnvaras

Ļaundari mēdz izmantot viltotus pa faksu vai pastu sūtītus pieprasījumus ar lūgumu mainīt domēna vārda turētāja informāciju. Atsevišķos gadījumos tiek pat nozagtas, kopētas vai pārveidotas oficiālās uzņēmuma veidlapas.

Tiešī šī iemesla dēļ (lai izvairītos no identitātes “zagļiem”), kad NIC pieprasāt veikt omēna vārda datu maiņu, DNS administratori pieprasīs apstiprināt šīs izmaiņas, pārsūtot saņemto pieprasījumu uz Jūsu kontakta e-pasta adresi. Tādēļ ir jo īpaši svarīgi norādīt aktuālu kontakta informāciju!

Administratīvās kontaktpersonas e-pasta adreses viltošana vai nolaupīšana

Ir vairākas metodes, ar kuru palīdzību var viltot vai sagrozīt e-pasta saraksti. Izplatīta uzbrukuma forma ir izsekot administratīvo kontaktpersonu e-pasta adreses, meklējot tādu, kurā iekļautais domēna vārda lietošanas tiesību periods drīzumā beigsies. Piemēram – domēna vārdam “manavietne.lv” administratīvās personas e-pasta adrese ir “admin@domenimi.lv”. Ļaundaris seko līdzi “domenimi.lv” lietošanas tiesību perioda beigām un, kad tas kļūst publiski pieejams, šo domēna vārdu piereģistrē uz sevi, vai arī kādu saistītu juridisku vai fizisku personu. Kad tas ir izdarīts, viņš izveido e-pasta adresi “admin@domenimi.lv” un vēršas no šī e-pasta pie domēnu vārdu reģistra (kurā reģistrēts kārotais domēna vārds “manavietne.lv”) ar lūgumu mainīt tā lietošanas tiesības. Šādi ļaundaris var uzdoties par vēlamā domēna vārda (manavietne.lv) administratīvo kontaktpersonu, pārņemot kontroli savās rokās.

Lai gan NIC nepublisko .LV domēna vārdu lietošanas tiesību perioda sākuma un beigu datumus, ir domēni, piemēram, .com, .net, par kuriem šī informācija tiek publiski norādīta WHOIS datos.

Ievainojamība reģistratūras pusē

Ja Reģistratūras pakalpojumu administrācijas panelis atļauj neierobežotu skaitu paroles mēģinājumu, ļaundaris, izmantojot pārlases uzbrukumu (brute-force), var to uzminēt. Ielogojoties vai uzlaužot sistēmu, uzbrucējs var nomainīt norādītos lietošanas tiesību turētāja datus, nomainīt administratīvās kontaktpersonas e-pasta adresi un arī paroli, ar kuru var pieslēgties īstais konta īpašnieks. Ļaundarim tik atliek pieprasīt domēna vārda Reģistratūras maiņu. Jaunajā Reģistratūrā neviens nebūs dzirdējis par sākotnējo domēna vārda lietošanas tiesību turētāju, kas krietni atvieglos šī domēna vārda notirgošanu.

Sociālā inženierija

Piekļūt Reģistratūras datu bāzei var arī to neuzlaužot, proti, uzdodoties par vēlamā domēna vārda lietotāju, mīļi palūgt šī domēna vārda nodošanu citai Reģistratūrai, kur ļaundaris jau būs likumīgs turētājs. Parasti gan lielākās Reģistratūrās šī pāreja tiek veikta automātiski (izmantojot speciālu autorizācijas kodu), līdz ar to šāda veida tautas apšmaukšanas metode, ko tagad sauc cēlā vārdā „sociālā inženierija”, nevar nostrādāt.

Kā pasargāt sevi no domēna vārdu zagļiem?

Tāpat kā par drošību uz ielas vai mājās, arī par domēna vārdu vispirmām kārtām atbildīgi esam mēs katrs pats. Tādēļ ir īpaši svarīgi apzināties dažus vienkāršus drošības pasākumus, kurus ikviens var veikt, lai aizsargātu savus vai savu klientu domēnu vārdus.

NIC mārketinga un komunikācijas daļas vadītāja Dana Ludviga skaidro, ka “visbiežāk .LV domēna vārdi tiek izkrāpti tīri cilvēcīgas nevērības vai naivas uzticības dēļ, pavirši kārtojot savstarpējos dokumentus vai veicot domēna vārda pirkšanu vai pārdošanu. Tādēļ aicinu ikvienu attiekties pret domēna vārdiem ar vērību, jo ne velti tie tiek dēvēti par 21. gadsimta nekustamo īpašumu!”

Lai pasargātu sevi no zagļiem, jāievēro 8 vienkārši drošības ieteikumi, kas noderēs ikvienam domēna vārdu lietotājam:

1. Domēna vārda kontaktpersonu ierakstiem ir jābūt precīziem un aktuāliem. Ja ir iespējams, norādiet atsevišķu kontaktu krīzes gadījumiem.
2. Turiet savu konta informāciju (lietotāja identitāti, paroles vai citus akreditācijas datus) privātu un drošu. Ja reģistra uzturētājs vai reģistratūra atbalsta, pieslēdziet 2FA (divfaktoru autentifikāciju). Pamācība, kā pieslēgt 2FA NIC klientu tiešsaistes sistēmai pieejama - https://www.nic.lv/lv/tiessaistes-sistema.
3. Izvēloties Reģistratūru, izvērtējat tās darbības atbilstību Jūsu vajadzībām (klientu apkalpošanas darba laiks, reakcijas laiks, piedāvātie servisi, citu klientu atsauksmes).
4. Pārbaudiet, vai Jūsu domēna vārda reģistratūra ir .LV reģistra turētāja (NIC) sadarbības partneris un ievēro labas prakses vadlīnijas. Oficiālo .LV Reģistratūru saraksts pieejams https://www.nic.lv/lv/registrars.
5. Jāiepazīst un jāiekļauj sava domēna vārda tehniskie konfigurācijas dati sava uzņēmuma drošības un nepārtrauktības politikas dokumentā.
6. Izglītojiet savu personālu, veicinot izpratni par domēna vārda nolaupīšanu un tā iespējamām sekām. Atceraties, ka Jūsu datu autentifikācija, pieprasot domēna vārda datu maiņu, tiek veikta Jūsu pašu drošības dēļ.
7. Pārbaudiet, vai WHOIS norādītā informācija par Jūsu uzņēmuma domēna vārdiem ir norādīta korekti.
8. Veicot domēna vārda pārdošanas vai pirkšanas procedūras, esiet vērīgi un uzmanīgi – sakārtojiet attiecīgo dokumentāciju, lai nerastos strīdu gadījumi nākotnē.