Апдейт статьи от 11.07.2020: REG.RU вернули домен. Проведено внутреннее расследование регистратором и выявились признаки мошенничества, а также тот факт, что подтверждение о смене админа домена было с другого почтового клиента и IP-адреса страны, в которой я не нахожусь. МВД отказывается расследовать дело.
Основная часть статьи.
Привет посетители сайта. Обращаюсь с вопросом, как быть и что делать? Ночью 9.06.2020 был украден домен из учетной записи Reg.ru.
Как все произошло: утром я увидел сообщения, присланные от регистратора доменных имен Reg.ru.
Были они такого плана:
Процедура смены владельца для следующих доменов успешно завершена. Запрос на подтверждение смены контактов владельца регистрации. Перенос доменов между аккаунтами REG.RU
Если сказать что я удивился... это ничего не сказать... К слову, сообщения небыли прочитаны. Я быстро посмотрел, что в данных сообщениях, и увидел, что мой основной домен был передан какому-то Артему (фамилия и почта). Зайдя на сайт в админку я не попал, сервер выдал 404. Это и понятно, адрес админки был нестандартным. Так я понял что домен хостится на другом сервере.
Зайдя в аккаунт Reg.ru, обнаружил что домена нет. Начал писать тех. поддержке. Они сообщили, что домен был передан в другой аккаунт с приложением документов владельца домена и подтверждением с почтового ящика владельца домена. Я сообщил что домен никому не передавал. И как такое стало возможно.
Юридический отдел Reg.ru сообщил:
Обратите внимание, что перенос домена в другой аккаунт был осуществлен не из авторизованной части, то есть вход в ваш Личный кабинет не производился. Домен был перенесен с помощью формы: https://www.reg.ru/domain/service/transfer_services.
И тут я еще больше удивился.
Я попросил проверить, были ли загружены настоящие документы или нет. Они сказали, предоставьте их. В общем выяснилось, что была загружена цветная скан-копия другого паспорта. При том другого паспорта у меня нет и не было! Имелось удостоверение. Кто-то что-то подделал, и прокатило...
В переписке я также попросил провести внутреннюю проверку, привлечь службу безопасности и заблокировать домен пока его не увели из Reg.ru. В ответ мне написали: «ООО Рег.ру не является юрисдикционным органом и не может установить юридический факт кражи доменного имени».
Так же я интересовался, как мои данные, которые были только у регистратора Reg.ru, стали известны злоумышленнику. При том я пользовался платной услугой скрытия персональных данных. Мало того аккаунт в Reg.ru был на одном email, а email администратора на другом email, и был надежно скрыт... как и имя с фамилией. Не один из данных email не использовался на сайте, домен которого украли!
В общем мне сообщили, что факта загрузки левого документа не достаточно, а достаточно, по правилам ICANN, подтверждения по почте. Теперь пишу «Яндексу», дабы тот подтвердил или опроверг факт взлома почты! Reg.ru пишет, обратитесь в полицию, мы тут все пуф... Еще много писать...
Но мне срочно надо ехать на консультацию к адвокату по данному вопросу. Если что упустил, дополню. Пишите, как быть, что делать? При таком случае угона домена.
Я вернулся) В общем меня проконсультировали... Куда, зачем и как обращаться. Буду пробовать завтра. Но так не хочется этой волокиты... докажи что ты это ты...
Яндекс отписал:
Если вам нанесли вред или вы стали объектом иных противоправных действий, вы можете обратиться в правоохранительные органы. По их запросу мы обязательно предоставим всю имеющуюся у нас информацию.
Рег.ру тоже написал:
ООО Регистратор сможет рассмотреть запрос правоохранительных органов с просьбой передать домен предыдущему владельцу.
Ну и дальше написали как и что надо делать... за это спасибо конечно же. Но я не хочу чтобы ограны просили за меня у кого либо. Потому как в полицию обращаться дело такое себе... Я живу мирно и с ними дела имел аж в далеком 2003. Было бы классно если бы регистратор сам разобрался в факте несанкционированной передачи или кражи домена... самое обидное даже аккаун в рег ру не взломали а так забрали... через почту или документы... Вопросов много... ответов мало. Позже как выяснится любая инфа... оповещу.
Добавлю что зона в которой был домен международная. Имеются частые вопросы по данному поводу.
12.06.20 Подано заявление в органы по поводу кражи доменного имени и предшествующих действий со стороны не установленного гражданина, приведших к таким последствиям.
11.07.2020 Прошло 2 месяца с момента угона домена. За это время случилось многое... Регистратор вернул доменное имя в мой личный кабинет. Домен поместили на 30 дней под блокировку регистратора по моей просьбе и также до разбирательств со стороны МВД. Внутреннее расследование показало признаки мошенничества, однако у регистратора нет полномочий определять факт мошенничества.
МВД же написали отписку "исследуя материалы прихожу к выводу, что в Вашем обращении о принятии мер в отношении неизвестного лица по имени такой-то, факт криминального характера не подтвердился". Сообщили что заявление списано в номенклатурное дело. Я на полицию и не грешу... потому как они все равно ничего бы не решили) Когда я подавал заявление по просьбе регистратора... я 2 часа объяснял следователю что такое домен, регистратор, сервер, ip адреса, сайт, почтовые сервисы и браузер).
Следователь вызывал меня после подачи заявления 2 раза. Беседовали с ним и он сказал что бы я сам решал вопрос с доменом... потому как такие дела спускаются на тормозах. При последней встрече вручил уведомление об отказе по делу.
В промежутках забегов к полиции я занимался возвратом сайта... ладно домен мне вернули, но вор начал переезд сайта в вебмастерских Гугла и Яндекса. Он сбросил права на управление сайтом в поискавиках и воспользовался функцией переезд сайта, указал новый домен, загрузил на него полную копию сайта и настроил 301 редирект. Хорошо в Гугле есть функционал отмены переезда, а вот Яндекс... отписался) мы остановить переезд не можем.... это автоматический инструмент! И типо ждите! Еще написали типо при текущих настройках сервера главное зеркало смениться не может! Но главное зеркало сменилось... и сайт вора стал основным! Правда через неделю зеркало отклеилось и сайты стали независимы друг от друга. В ходе всех траблов я потерял 60% трафика. Но сайт и домен сейчас у нас под контролем). Конечно все не так как хотелось бы, но хотя бы есть от чего шагать дальше.
Т.к. МВД отказалось заводить дело, по истечении 30 дней блокировки домен вернётся ко мне полноценно.
Привет! Обращение в полицию - стандартная процедура при любом покушении на мошенничество. Оно позволяет не просто начать расследование, а зафиксировать правонарушение против вас. Иначе Вы можете добровольно отдать свой домен или продать, а потом начать требовать его обратно. И тогда аферистом станете вы! Поскольку reg ru не является государственным органом власти, вы должны обратиться для защиты своих интересов в правоохранительные органы.
Да, совершенно верно.
Уже представил как начинается процесс, после подачи заявления в ПОЛИЦИЮ. Просьба ТС я так понял была именно в этом моменте. Ваша модерацию пропустила скан паспорта и сделали ошибку. В чем проблема узнать подлинность паспорта сделав запрос и если ТС прав, а вы нет, то возвращаете домен обратно. А так отмашки с вашей стороны...или я чего-то не знаю
Скан — не единственное слабое место. Подтверждение пришло с почты владельца.
Мы проведём расследование и поможем законному владельцу вернуть свой домен.
Уважаемые, REG.RU
Вопрос защиты доменов важен для многих. В том числе для меня - держу у вас 10+ доменов. И, если честно, после каждой подобной истории, лично меня накрывает страхом, что и мои домены могут вот так просто уйти.
Почему бы вам не ввести дополнительные меры идентификации владельца пользователя при критически важных действиях с доменом? Например, есть используемая многими организациями, в том числе гос. органами схема, при которой идентификация подтверждается не только сканом паспорта, но и фотографией владельца с паспортом в руках.
Думаю, что ваша система готова к такому действию - вы обрабатываете сканы. Получаете, сохраняете, обрабатываете и прикрепляете их к карточке клиента или домена в своей системе. То есть этот способ вы сможете внедрить довольно быстро и без каких-то значимых вложений.
Это выгодно и вам и нам и правоохранительным органам.
Вы снимаете море негатива, фактов террора вашей компании, повышаете свою репутацию на рынке за счёт увеличения надежности защиты.
Мы получаем доп уверенность, что наши домены останутся нашими.
Правоохранительные органы: а/ имеют меньше работы - меньше фактов; б/ имеют лицо или самого жулика, или того кого он подставил.
Новых клиентов можно подключать к этому априори. Старых клиентов (нас) можно известить о такой возможности. Думаю многие поставят такую защиту.
Если есть какие-то юридические нюансы с вашим правом требовать подобного подтверждения, то это можно сделать как добровольное решение владельца домена. Я бы точно это сделал.
Спасибо за фидбэк. В ЛК есть много опций по безопасности аккаунта, привязка по IP, 2FA и так далее.
Если воспользоваться ими, можно избежать таких проблем. Подробнее о способах защиты мы рассказывали в блоге: https://www.reg.ru/blog/chek-list-kotoryj-zaryazhen-na-zaschitu-domena/
"2FA" - Завязываться на номер, который тебе не принадлежит. Это же смешно.
В моем случае при угоне домена не был осуществлен вход в личный кабинет.
Мда.. Ну спасибо за фидбек и вам)
Исходя, таки стоит задуматься и поизучать что дают по безопасности иные регистраторы и парковки доменов.
Если у всех так же, то менять шило на шило не стоит. Если есть кто-то лучше в этом плане то надо переезжать.
Будем покопать.
Регру, добрый день. Вы скидываете чек-лист. Но судя по словам ТС, метод угона был такой, что этот чек-лист не защитит.
Если я не прав, объясните, что случилось в случае ТС, и какой пункт от этого защищает.
Если же этот чек-лист бесполезен, объясните, как защититься от данного вида взлома.
Я сам являюсь вашим клиентом. Читаю ваши ответы и просто не понимаю, как от такого защититься.
Спасибо.
Мы рекомендуем максимально защищать свой email, на который зарегистрирован ЛК: надёжный пароль, двухфакторная авторизация и т.п. Если говорить о кейсе в материале, то он ещё не разобран до конца, не ясна на 100% причина произошедшего, чтобы говорить о каких-либо других мерах безопасности, не указанных в нашем чек-листе. Если потребуются дополнительные меры, мы обязательно расскажем об этом и актуализируем наши подобные материалы в блоге и справке.