Припаркованные домены - риски для брендов

Припаркованный домен - это зарегистрированное кем-либо доменное имя, не привязанное к веб-сайту или какому-либо собственному контенту. Чаще всего на таком домене будет отображаться стандартная парковка регистратора или ошибка о том, что сайт недоступен. При всей своей кажущейся безобидности припаркованные домены тем не менее могут представлять угрозу для брендов и их клиентов - доменные имена, схожие по написанию с именем вашего бренда, могут негативно влиять на репутацию вашей компании и даже наносить ущерб вашей клиентуре, поэтому игнорировать их нельзя. Относительно простым шагом для опережения и предотвращения возможных мошеннических действий с использованием таких доменов является автоматизация их мониторинга.

Что такое доменная парковка или припаркованный домен?

Ресурс ICANN Wiki дает определение доменной парковки как домена без контента. Припаркованный домен зарегистрирован неким лицом, но, как правило, не имеет никакого собственного содержимого. При переходе на него браузер может выдавать сообщение о том, что этот сайт недоступен или же будет загружаться некая стандартная, реже - пользовательская страница, не несущая большой смысловой нагрузки.

Цели и причины использования доменной парковки могут быть разными:

• монетизация домена посредством публикации рекламного контента для генерации дохода;
• сайт для домена еще не готов и находится в стадии разработки;
• администратор (владелец) домена желает зарезервировать его для будущего использования;
• истек срок регистрации доменного имени;
• домен был зарегистрирован для предотвращения его использования злоумышленниками.

Как мошенники используют припаркованные домены с вредоносной целью?

Большинство припаркованных доменов не представляют опасности и в конечном итоге становятся вполне легитимными веб-сайтами компаний или индивидуальных лиц. Однако, с другой стороны, один из самых известных на сегодняшний день ботнетов - Emotet - в 2020 году использовал припаркованные домены в качестве канала распространения вредоносного контента.

Другие известные мошеннические схемы с использованием доменных парковок, включают:

• перенаправления (редиректы) на страницы с вредоносным контентом;
• публикацию вредоносного контента на самом домене - например, фишинговые страницы;
• выдачу себя за легитимного отправителя спама и фишинговых рассылок.

Во избежание обнаружения мошенники могут сначала парковать домены на некоторое время, не ведя на них вредоносную активность, поскольку большинство систем мониторинга доменных имен нацелены на сканирование вновь зарегистрированных имен в течение ограниченного периода, по истечении которого домены просто удаляются из их проверочной базы. Не сложно догадаться, что именно этот момент является идеальным для злоумышленников, запускающих фишинговые сайты на доменах, вышедших из поля зрения сканеров.

Кроме того, компании часто обращаются к защитникам брендов с жалобой на обнаруженные MX-записи, привязанные к схожему по написанию припаркованному домену. Это веская причина для подозрения, что владелец указанного домена собирается или уже производит фишинговые рассылки якобы от имени легитимного бренда.

В чем опасность наличия MX-записей у припаркованного домена, похожего на ваш?

Запись обмена почтой (Mail Exchange - MX-запись) является частью DNS-системы, которая идентифицирует серверы электронной почты в Интернете. MX-запись определяет хост (сервер), который будет принимать электронную почту, отправленную на привязанный к нему домен.

Припаркованный домен с настроенной MX-записью может рассылать вредоносные электронные письма с этого домена, например, с фишинговой целью. Так как доменная парковка далеко не всегда содержит какой-либо контент, подобный домен может показаться абсолютно безвредным для неосведомленного пользователя и ввести его в заблуждение о своей причастности к легитимным ресурсам бренда.

А как же SPF, DKIM и DMARC?

У компаний часто возникают вопросы об этих протоколах, так как довольно легко запутаться в том, что можно сделать с их помощью, а что нет. Sender Policy Framework (SPF) содержит информацию о списке серверов, которые имеют право отправлять письма от имени домена и механизм обработки писем, отправленных от других серверов. DomainKeys Identified Mail (DKIM) добавляет в сообщение цифровую подпись, связанную с именем домена для определения отправителя; подпись проверяется на стороне получателя, а затем применяются черные и белые списки для определения репутации отправителя. Domain-based Message Authentication, Reporting, and Conformance (DMARC) - политика проверки подлинности, основанная на первых двух; она определяет, как почтовый сервер получателя должен обрабатывать входящие письма, если адрес отправителя не удалось идентифицировать.

Хорошей практикой для компаний является комплексное использование всех трех протоколов для предотвращения подделки отправителя и содержимого электронных писем. Эти меры позволяют снизить риск отправки поддельных писем с вашего домена, но, к сожалению, их действие не распространяется на отправку электронной почты с других доменов, которые могут быть спутаны пользователями с легитимным доменным именем.

Сложности реагирования на потенциально вредоносные доменные парковки

Представим ситуацию, когда крупная компания обращается к защитникам бренда за помощью в отношении ряда припаркованных доменов, которые, по подозрению компании, готовятся или уже используются для фишинговой рассылки в адрес их клиентов. Поскольку на парковках этих доменов не размещен контент, их обслуживающие регистраторы и/или поставщики услуг хостинга (парковки) не станут предпринимать никаких действий в отношении доменных имен, так как само по себе существование этих доменов не обязательно нарушает какие-либо установленные «правила Интернета», а значит, нет доказательств злого умысла.

Для подачи заявки в рамках единой политике разрешения споров о доменных именах (Uniform Domain Name Dispute Resolution Policy, UDRP) от истца (заявителя) требуются доказательства того, что администратор (владелец) подозрительного домена использует его «недобросовестно». Недобросовестность определяется как «неправомерное использование или иное злоупотребление торговой маркой истца». Согласно этой политике, доказательство включает датированные скриншоты сайта нарушителя. Но на большинстве припаркованных доменов не с чего делать скриншоты, поскольку отсутствует контент. Здесь могут помочь сами клиенты компании, если они смогут предоставить скриншоты фишинговых писем и техническую информацию, заподозрив в них подвох. Но, к сожалению, злоумышленники с каждой новой атакой действуют все более искусно и часто вводят в заблуждение даже опытных пользователей, поэтому кроме технических мер для защиты от вредоносных активностей очень важно повышать техническую грамотность аудитории и клиентов - обучение нескольким простым действиям для проверки сомнительной корреспонденции поможет им не попасться на удочку мошенников.

Помимо очевидной сложности сбора доказательств вредоносных целей использования припаркованного домена процесс UDRP занимает время, обычно не менее 60 дней , каждый из которых увеличивает число потенциальных и реальных жертв, пока домен продолжает работать на руку злоумышленникам, и наносит ущерб репутации компании.

Таким образом, способы реагирования на доменные парковки сводятся к трем основным:

1. подача заявки UDRP:
   • попробуйте найти контактную информацию администратора (владельца) припаркованного домена (становится все сложнее) и отправьте запрос UDRP,
   • дождитесь ответа на него (в среднем 3 недели),
   • подождите еще 5-6 недель, пока ваше дело будет рассмотрено арбитром (и не забывайте все это время оплачивать услуги юристов),
   • смиритесь с риском потерять оригинал заявки,
   • повторяйте бесконечно, потому что мошенники просто сменят домен за копейки и продолжат свою активность, а потом снова и снова.
   Вывод: это далеко не лучший подход к решению вопроса, поскольку он может тянуться бесконечно, повлечь за собой огромные издержки и напоминает борьбу с ветряными мельницами.
2. Непрерывный мониторинг - на постоянной основе отслеживайте любые припаркованные домены, чтобы при их превращении в орудие мошенничества вы могли незамедлительно принять меры. Это обязательный пункт проактивной политики.
3. Полное игнорирование - по очевидным и вышеописанным причинам это плохая идея.

Что же все-таки делать с припаркованными доменами?

Несмотря на сложности и кажущуюся бесполезность борьбы с подозрительными припаркованными доменами, компаниям доступен ряд мер, способных снизить связанные с ними риски. Возможно, самая главная из них - это признать существование проблемы вместо того, чтобы махнуть на нее рукой. От безобидного припаркованного домена до вредоносного инструмента - один шаг, поэтому их видимость уже сама по себе принесет пользу.

Общая же стратегия реагирования компаний на подозрительные и явно вредоносные доменные парковки может состоять из таких шагов:

• признание факта, что обращение к регистраторам и хостинг-провайдерам не принесет ожидаемого эффекта, а свое время, деньги и нервы можно использовать с большей пользой;
• автоматизация регулярной системы мониторинга таких доменов с заданной периодичностью для возможности максимально быстрого реагирования на появление вредоносной активности;
• добавление подозрительных доменов в черные списки почтовых серверов под вашим управлением - однако, имейте в виду, что это защитит сотрудников внутри вашей технологической экосистемы, но не клиентов за ее пределами;
• донесение до клиентов четких рекомендаций о том, как реагировать на сомнительную активность и куда сообщать о ней, а также общее повышение их технической грамотности и осведомленности.

Проще говоря, держите друзей близко, а врагов еще ближе, а также не забывайте, что взаимоотношения компании с клиентами - это обоюдный процесс, и каждый его участник может оказать незаменимую помощь другому в нужный момент.