Домен сайта нашего СМИ угнали через перевыпуск SIM-карты
Раньше я удивлялся историям о том, как можно потерять доступ к целому сайту. Сегодня это произошло с нашим изданием, СМИ «Банки Сегодня». Мы не занимались политикой, не писали заказных материалов, посещаемость была весьма далёкой от уровня ТАСС или РИА Новости. Но теперь это случилось.
События развивались примерно так.
В 15:50 владелец домена (и он же совладелец самого СМИ) получает на телефон сообщение от оператора: кто-то инициировал замену SIM-карты (есть скрин, почему-то ни один вариант сюда не хочет загружаться).
Естественно, что владелец домена позвонил в МТС. Очевидно, что в этот момент мошенник уже активировал SIM-карту, так как звонок прервался на середине. С другого номера удалось заблокировать его через оператора, но было поздно.
Мошенник успел зайти в электронную почту на «Яндексе», а через неё получить доступ к личному кабинету в Reg.ru, который обслуживал наш домен. Как именно он смог узнать связку номера телефона, почты и тот факт, что на него оформлен аккаунт у регистратора — пока загадка.
Почти сразу домен был перенесён на аккаунт другого пользователя. На данный момент доступ к сайту есть, но как быстро будет сменён DNS сервера домена, мы не знаем.
Мы направили обращение в компанию Reg.ru, надеемся, что они смогут решить нашу проблему. Для этого желательна более широкая огласка. К тому же это поможет владельцам и других сайтов сохранить контроль над ними.
Надеемся, что МТС, Яндекс или Reg.Ru смогут прокомментировать ситуацию на vc.ru.
По данным на 8:00 уже произошла смена DNS на нового владельца:
- Name Server alan.ns.cloudflare.com
- Name Server sofia.ns.cloudflare.com
Вот где мы еще об этом писали:
На самом сайте, пока к нему есть доступ, я тоже обновил новость.
Здравствуйте, Артём!
Мы уже заблокировали домен для переноса. Насколько видим, в тикете вложены документ о регистрации СМИ и сертификат на владение доменом. Копии заявления и паспорта не приложены, а они понадобятся для дальнейшего расследования.
Настоятельно рекомендуем как можно быстрее обратиться в правоохранительные органы, чтобы мы смогли помочь вам вернуть домен.
Как только копия заявления будет у вас на руках, пожалуйста, отправьте необходимые документы в рамках созданного ранее тикета.
Зачем вам заявление?
Если мтс подтвердит в своём заключении, что сим карту действительно получили не законным способом, то думаю reg.ru вернёт домен. Все другие варианты тут вряд ли сработают.
И ещё. Правильно ли я понимаю, что один совладелец домена владеет доменом, а другой считает, что он тоже владелец сайта не имея доступа к нему?). Будьте осторожны, потом будете жалеть, что домен не на юр лице был. Кстати, мошенник, который сделал это точно знает хорошо владельца домена, поверьте мне.
Ну и совет. Я более чем уверен, что мошенник перевёл домен на левые данные. Приходите в офис рег.ру и пишите заявление на проверку верификации данных по этому домену. Они запрашивают у владельца домена паспорт и если он не предоставит, то аккаунт могут заблокировать с услугами пока не предоставит их. Так вы обезопасите себя пока от смены днс у домена итп. Также советую написать заявление в полицию и попросить оперуполномоченного направить запрос к регистратору и попросить ЗАБЛОКИРОВАТЬ домен на какие-либо действия на время следственных действий. Не поверите, но он может это сделать.
Удачи
Глупый, наверное, вопрос, но, как возможно, что оператор восстанавливает симку без присутствия владельца с его паспортом?
Если атака была спланирована, а она была, дроп с паспортом там уже лежит наготове, так что задержка от верификации будет небольшой
Привязка номера телефона уже давно себя дискредитировала. Особенно в странах, где операторы полностью подчинены властям и/или абсолютно наплевательски относятся к клиентам.
Рекомендую приобрести крипто-токен и использовать его вместо телефона. Яндекс, Гугл, Фейсбук уже давно поддерживают двухфакторную авторизацию по токену. На данный момент это максимальный уровень защиты.
Хорошо, что Вы ,например, компетентны в этом вопросе, а вот я как человек не знающий, могу тоже как эти ребята остаться с голым з...ом, извините. В голове не укладывается, что вот так приходишь в МТС и проворачиваешь такие схемы. Очень желаю, чтобы все у СМИ «Банки Сегодня» наладилось.
Комментарий недоступен
А если ты этот крипто-токен теряешь, какие пути восстановления?
YubiKey вроде есть еще, это оно?
Комментарий недоступен
Банковские sms только не приходят
Где это написано?
Комментарий недоступен
Цыган, цыган. А сайт - кусок seo дерьма с рефами. Ну а как ссылочную массу набрать, если все остальное тут улетает в небытие))
Наша сотрудница. Попросил не комментировать.
пользуюсь сверхмедленным и крайне бюрократизированным рег.ру уже лет 10 и по мне это фантастика какая-то.
Комментарий недоступен
Да, запрашивает, для международных зон подтверждением является переход по уникальной ссылке в письме, которое отправляется на почту. Почта, как вы понимаете, в распоряжении мошенников.
Не прикладывается скрин, попробую чуть позже добавить.
И ещё вопрос. Здесь на vc.ru вы не настоящую же фамилию пишите свою, правда?) У вас другая фамилия, но действительно зовут Артём.
Не хочу показаться подозрительным, но где-то эту статью а сегодня уже видел. А на Пикабу. И точно также пользователь там зарегистрировался прямо сегодня.
По самой теме - чтобы перенести домен с одного человека или юрлица на другого человека к администратору обычно требуется не один день. Частенько бывает что онлайн это сделать вообще нельзя особенно если касается физических лиц. Но дело даже не в этом. А в том, что что ничего ужасного произойти не может. Злоумышленник на какой-то момент может перевести traffic или даже DNS переписать, но потом владелец напишет заявление или как-то ещё свяжется с регистратором и вернет себе права.
Поэтому этот пост больше похож на раскрутку ресурса.
Я в Беларуси передавал домен от частного лица юридическому только при личном визите к регистратору с паспортом и составлением заявления.
Это по ру доменам. Другие зоны перекидываются просто онлайн по клику.
Что вы накинулись на людей? У них проблема, они пытаются ее хоть как-то решить. А тут некоторые любят только осуждать а не помогать. Какая разница какой сайт!? Если им пользуются значит нужен.
Прям какой-то космос..Уж не знаешь о чем думать, или Reg.ru пиарит скорость переноса домена за время телефонного звонка, или кто-то собирает хайп на угоне никому не нужного домена, вы уж не обижайтесь.
Вообще вся эта история выглядит крайне странно и очень похожа на банальный PR.
Подобный уровень обычно демонстрируют профессиональные хакеры. Но чтобы их нанять кому-то вы должны были крупно перейти дорогу. О чём почему-то молчите (что для СМИ крайне склонных к самопиару весьма странно).
С другой стороны написали тут - хотя ваш вопрос решается тем же Reg.ru и какого либо криминала или нарушений с их стороны не видно. Зато видны некоторые несостыковки в вашей истории. Итого - вся эта история похоже на ваш же PR на VC. ;-))
Даже не хочется ничего комментировать, просто очень хочется, чтобы все нам вернули. Вы можете нам верить или не верить, это Ваше право. От этого наше положение пока не меняется.
Чтобы минимизировать риск возникновения таких случаев, мы подготовили подробный чек-лист по защите домена: https://www.reg.ru/blog/chek-list-kotoryj-zaryazhen-na-zaschitu-domena/
Я закончил ГУУ в лохматом году и вроде как в курсе дел там. Откуда там специальность "Журналистика"?
Вообще не верю ни единому слову в этой статье)
Комментарий удален модератором
Тоже вот странно. Если треснуть по крылу авто которое тебя чуть не сбило во дворе тебе лепят срок, как мальчонке с щенком. А тут более дорогой сайт, любой дорогой, не обязат герой статьи и милиции пофиг..
«Мы не занимались политикой, »
Дорогие друзья!
Не читайте советских газет, ой, не используете Яндекс, рег.ру и прочее. Представляю Вашему вниманию NameCheap + Google Authenticator.
Безопасно, комфортно и без лишних сложностей :)
Комментарий недоступен
Спасибо, что напомнили, что надо отключить 2fa по СМС.
Последние полгода входил в Гугл именно таким образом.
Дело не только в МТС или РФ, у больших ютуберов пытаются угонять каналы таким же образом, перевыпуская симки американских операторов:
Вопрос к владельцам ресурса: а зачем вы его вообще развиваете?
Чтобы на партнерках бабло рубить
Вроде на рег.ру можно запретить смену владельца без личного присутствия.
Хм... Перенос за 15 минут? Я переносил сутки от хостера. На реге
Что интересно - Ваш случай не первый, если погуглить то почти каждый год крадут домены с хорошей посещаемостью у данного регистратора. У других в РФ как то не слышно особо. Возможно особенность смены владельца через кабинет итп.
Это кто-то свой
Сочувствую! Какая идиотская история конечно, но не может не возникнуть мысли, что тут какой-то развод, типа подставы от своих же...
К оператору надо прийти и написать заявление на перевыпуск и остальные важные операции в офисе только с личным присутствием, без доверенности. Скорее всего эту схему использовали, тк за домен врятли будет сотрудник оператора так подставляться. В их системе отчётливо видно кто проводил замену.
И чем это поможет? Это будет всего лишь галочка в профиле абонента, которую сотрудник салона может просто проигнорировать.
Пусть ваш совладелец сми почитает элементарные правила информационной безопасности: нельзя использовать телефон как средство аудентификации, об этом нист писал еще в 2016 году.
номер телефона или устройство?
двухфакторная, где смс тоже используется, считается, или через смс все равно сбросить можно?
Странно, перенос домена в зоне ком и подобных занимает 5 дней. Каким образом за 1 день можно? Перенос можно отменить в теч 5 дней. И менять днс и т.п. в это время никак нельзя.
Плюс домен залочен от переноса по умолчанию. Разлочка тоже день. И когда я последний раз переносил от них домен ком они даже звонили спрашивали почему изза чего и т.п. и совсем не в тот же день, а день на третий.
Хорошо и быстро не бывает дёшево)
А меня Тинькофф оперативно предупреждает о любой операции с сим-картой, будь то смена номера, перенос, блокировка, разблокировка. Причём смс-уведомления приходят на все номера, привязанные к аккаунту (то есть, моей мордашке😻). Заблокировать номер добровольно просто (и то оператор в чате предупреждает о том, что действия с симкой всё равно остаются на моей совести), а вот чтобы вернуть доступ… начинают спрашивать, помимо стандартных серия/номер паспорта, различные деликатные вопросы, вплоть до знака зодиака любимого кота)) Шучу, конечно, но сим-карту сия проверка обезопасивает на ура!
У нас так 750 тысяч угнали, бывает :)
https://vc.ru/finance/38256-moshenniki-ukrali-750-tysyach-rubley-so-scheta-predprinimatelya-v-modulbanke-s-pomoshchyu-perevypuska-sim-karty
К вечеру сегодняшнего дня:
восстановлен доступ к почте;
домен все еще нам не вернули, но DNS вернули.
Из минусов: злоумышленник настроил 301-й редирект на свой сайт - точную копию нашего. Адрес писать не буду, но его найти легко.
Более подробно описано здесь: https://habr.com/ru/post/468909/.
Хотел как-то перевести домен с регру, так там столько дрочева на недели времени. А тут хуяк и перевели. Что-то сервисы у нас больше ориентированы на скам, чем на честных юзеров.
Почему я не додумался до такого способа раскрутки сайта, ну гениально же. Ещё вчера это издание знало 15 человек, а сегодня десятки тысяч. Достаточно просто "потерять симку"