«У нас таких писем по 100 штук на дню». Как у нас пытались отобрать домен

Привет! Я Дмитрий, основатель и генеральный директор ООО «ТЕСПА». И сейчас я расскажу о том, как у меня угнали домен.

Утром 23 октября я проснулся, сделал кофе, начал строгать бутерброды – и тут мне пишет программист, который занимается разработкой нашего сайта tespa.ru. Сайт – площадка для продажи б/у спецтехники, но к дальнейшей истории это отношения не имеет. Программист пишет, что сайт недоступен, а у домена IP-адрес перенаправляет на другой сервер.

Кофе как-то сразу перехотелось.

Этап первый: Пытаемся восстановить пароль

Что делает человек, который подозревает взлом личного кабинета? Конечно же, открывает аккаунт и пытается изменить пароль. Это совершенно базовое современное знание, как «мойте руки перед едой» и «выключайте утюг перед выходом из дома».

Мой регистратор домена – это RU-Center. Ну это одна из крупнейших и старейших компаний по делегированию доменных имён, что может пойти не так? Пытаюсь залогиниться под своим логином и паролем – облом. «Пароль неверный». Восстановить его не так-то просто – в конце концов, я зарегистрирован как юрлицо. Так что просто запросить ссылку на почту не получится. Надо немного потанцевать с бубном и отправить несколько документов.

Этап второй: Первый контакт с техподдержкой

Звоню в техподдержку, объясняю ситуацию. Мне говорят, что вчера, 22 октября, RU-Center получил письмо с просьбой сбросить пароль к личному кабинету. Лирическое отступление. Если вы зарегистрированы как юридическое лицо, для сброса пароля нужно отправить в RU-Center официальное письмо, в которое вложено заявление на смену авторизационных данных, приведённое на официальном бланке компании. В заявлении нужно указать название компании, имя генерального директора, номер договора или домен, подпись гендира и печать. А ещё – приложить решение собрания учредителей о выборе гендира и приказ о назначении гендира. В общем, стандартная бюрократическая волокита, направленная на защиту моих данных. Разумеется, я сказал, что гендир тут я вообще-то – и никаких писем для сброса пароля не отправлял. Техподдержка пошла навстречу и сказала, что может сменить пароль ещё разок. Для этого нужно просто отправить письмо с заявлением на смену пароля, к которому приложить решение учредителей и приказ о назначении гендира. Письмо заполнил, документы приложил и отправил.

Этап третий: Второй контакт с техподдержкой

Учитывая, что за окном была пятница, и восстановление данных вполне могло растянуться на все выходные, я ещё раз позвонил в техподдержку RU-Center.

И тут стоит отдать должное компании. Хотя домен увести у них, как выяснилось, несложно, восстановить его всё-таки тоже можно. Меня сразу соединили со специальным сотрудником, который занимается всеми такими вопросами, и он в процессе разговора сбросил пароль, перед этим задав вопрос – «Имеет ли отношение к компании генеральный директор из первого письма?», назвав ФИО человека из заявления. Я, разумеется, слышал его впервые, и потому ответил: «Нет».

Тут выяснилась ещё одна интересная деталь. Наша компания называется ООО «ТЕСПА». В фейковом письме была указана ООО «ТЭСПА». Вроде бы ошибка всего на одну букву, но всё равно.

Письмо мошенников

Тогда я напрямую спросил – «Как так вышло, что пароль к личному кабинету был сброшен по письму, в котором указано неверное название и другой генеральный директор?». Как говорится в одном дурацком меме, ответ убил: «Ну вы понимаете, нам таких писем по 100 штук на дню приходит, и просто сотрудник ошибся».

Такая аргументация мне и самому кажется странной. Но вот – скриншот письма, в котором техподдержка RU-Center объясняет, как такое произошло:

Выйдя из шока после этого странного, но – надо отдать должное – честного ответа, я спросил: «А как от подобного обезопаситься в будущем?». Но внятного ответа не получил.

Шёл вечер пятницы 23 октября. Вот теперь можно было уже расслабиться и выдохнуть.

Какие уроки я вынес из этой ситуации

К счастью, удалось обойтись малой кровью – сайт «лежал» менее суток. Но я всё равно вынес из этой ситуации пару полезных уроков:

  • Даже если регистратор – один из старейших и крупнейших в стране, он всё равно не предлагает достаточного корпоративного уровня защиты;
  • От «человеческого фактора» не застрахован никто. Всегда найдётся сотрудник, который «по запаре» передаст права на управление вашим доменом третьему лицу;
  • Надо на всякий случай сменить регистратора.

Прямо сейчас я как раз закончил переход к новому регистратору доменных имён. Но пока ещё готов рассмотреть альтернативы. Может, кто-нибудь знает действительного надёжного регистратора? Или просто сталкивался с подобной ситуацией и потому разработал методику защиты доменных имён?

0
48 комментариев
Написать комментарий...
Ревизор

Пароль - это строго конфиденциальная штука, а если Вы буквально пишите свой пароль на бланке и кому то отправляте, типа сотрудникам ру центра - то это уже не конфиденциально. Веселит сама процедура, где нужно писать заявление "смените мне пожалуйста пароль на вот такой вот" - это просто ноукоментс. Это дискредитация защиты информации как таковой)

Ответить
Развернуть ветку
Дмитрий
Автор

Согласен. И что ещё больше удивило, что не требуется номер договора в письме. Достаточно домен указать. Получается так любой домен можно хакнуть)

Ответить
Развернуть ветку
Алексей Чувыкин

Фейковую печать видно даже на такой плохой картинке, это должно было насторожить сотрудника. А по факту печать сейчас не регистрируется, ее можно менять хоть каждый день, можно работать без печати, директора тоже можно менять каждый день. В данном случае должны были проверить наименование и директора по базе ЕГРЮЛ, если директор не поменялся, то сверить подпись в заявлении с подписью в договоре или прочем договоре, который был ранее. С другой стороны, определить подлинность подписи может только лицензированный эксперт. В итоге вывод: без ЭЦП или личного присутствия директора с паспортом такие вещи нельзя пропускать.

Ответить
Развернуть ветку
Дмитрий
Автор

Должны были проверить, но увы.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Darya

Похоже второе

Ответить
Развернуть ветку
Дмитрий
Автор

Угнали и изменили А-запись

Ответить
Развернуть ветку
Уоррен Баффет

На фейковой печати ИНН/ОГРН указан. На скриншоте плохо видно. Это ваши?

Ответить
Развернуть ветку
Дмитрий
Автор

Нет

Ответить
Развернуть ветку
Уоррен Баффет

Полный зашквар... По ИНН посмотрели кто это?

Ответить
Развернуть ветку
Дмитрий
Автор

Судя по всему не проверили

Ответить
Развернуть ветку
Уоррен Баффет

С ру-центром то понятно все. А вы сами посмотрели чей это ИНН?

Ответить
Развернуть ветку
Дмитрий
Автор

Да, посмотрел, компании ООО "ТЭСПА"

Ответить
Развернуть ветку
Уоррен Баффет

Это все? А учредители/ген.директор? Иные зарегистрированные на них организации? Суды с участием ООО и фигурантов?

Ответить
Развернуть ветку
Дмитрий
Автор

Нет, так глубоко не копал

Ответить
Развернуть ветку
RU-CENTER

Добрый день, Дмитрий! Огромное спасибо, что обратили наше внимание на этот вопиющий инцидент. Мы уделяем особое внимание безопасности данных клиентов и, безусловно, эта ситуация совершенно не соответствует стандартам обслуживания, принятым в нашей компании. Пожалуйста, примите наши извинения за случившееся.
По вашему сообщению инициирована внутренняя проверка и будут приняты все меры, чтобы никогда не допустить повторения подобной ситуации.

Ответить
Развернуть ветку
ave ego

вы не хотите простой компании компенсировать раз признали ошибку сотрудника? )))

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Дмитрий
Автор

Хочется верить, что уделяете особое внимание безопасности, но процедура сброса пароля уж очень небезопасная) Что странно мне не пришло уведомление на почты о смене пароля. В личном кабинете указана рабочая и личная. Как сказал герой одного фильма "Меня терзают смутные сомнения".

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
dy

Не уверен, что можно найти "где лучше". Я бы поругался, но остался. До следующего инцидента :)

Ответить
Развернуть ветку
Дмитрий
Автор

Я всё же решил сменить регистратора)

Ответить
Развернуть ветку
Глеб Неизвестный

Я одного не понял. Ну сбросили пароль, он упал на почтовый ящик (в крайнем случае извещение пришло о сбросе пароля). Почтовый ящик тоже угнали? Или у руцентра там просто ссылку дают для генерации нового пароля?

Ответить
Развернуть ветку
Алексей Чувыкин

Там есть "скан" заявления, желаемый пароль указывается в нем.

Ответить
Развернуть ветку
Дмитрий
Автор

Нет, почтовые ящики были доступны, но уведомления о смене не было. В личном кабинете была указана рабочая и личная, но ни на одну не пришло. Что очень странно.

Ответить
Развернуть ветку
Grolribasi

Ничего особенного, просто очередная статья про угон домена. Сейчас это тренд.

Ответить
Развернуть ветку
Дмитрий
Автор

Ну в этом тренде не хочется быть

Ответить
Развернуть ветку
Алексей Володин

В любом случаи на старую почту должно падать письмо что были выполнены действия с доменом.

Ответить
Развернуть ветку
Дмитрий Егоров

Это хорошая практика, когда на старую почту улетает уведомление, но не знаю - есть ли у регистраторов такой функционал.
Кроме смены пароля и A записи, что еще изменили? Встроили shell, вирус, добавили своего админа? Удалось посмотреть журнал подключений администратора?

Ответить
Развернуть ветку
Дмитрий
Автор

Должно, но письма не было. Это и странно.

Ответить
Развернуть ветку
Стартапер-пессимист

Никакой защиты данных клиентов. Республика Адыгея? Место где живут мошенники. В полицию обращались?

Ответить
Развернуть ветку
Дмитрий
Автор

Да, компания в Адыгеи зарегистрирована. Нет, не обращался.

Ответить
Развернуть ветку
Andrey Vladimirsky

Интересно. Выходит, что даже, если техподдержка отработает на 100% корректно, все равно уже уволенный из компании директор может подобные письма писать, прикладывая реальные, но уже утратившие силу документы, и они будут иметь эффект. 

Ответить
Развернуть ветку
Дмитрий
Автор

Получается, что может.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Влад Берг

Я бы тоже настройки проверил. Там от лица вашего домена (компании) можно веселые вещи делать а вы даже не узнаете (пока не придут)

Ответить
Развернуть ветку
Дмитрий
Автор

Какие вещи?) К примеру? 

Ответить
Развернуть ветку
Влад Берг

Ну из простого, счета на оплату с подставными реквизитами разослать по контрагентам (вряд-ли это гостайна) если почта к домену привязана. Даже если не привязан напишут "Изменился!!" При этом ящик будет подтверждён что он принадлежит домену, вы в своей почте этих писем не увидите.

Ответить
Развернуть ветку
Дмитрий
Автор

Хм, интересно. Спасибо, изучу более подробно

Ответить
Развернуть ветку
David Goliath

А с какой целью вопрос? Чтобы вы потом выкупили его обратно?

Ответить
Развернуть ветку
Дмитрий
Автор

Скорее всего да

Ответить
Развернуть ветку
Sergei Solovyev

Чистый косяк nic.ru. Странно что они не предложили компенсацию. Из за их невнимательности, возможно вы потеряли клиента, 99% промядут позиции в поиске итд.

Ответить
Развернуть ветку
Дмитрий
Автор

Вчера позвонили, предложили особые условия обслуживания. Но предложение неактуально, т.к переехал к другому регистратору.

Ответить
Развернуть ветку
Sergei Solovyev

Не удивительно, у вас все козыри на руках для суда. Если случай окажется массовым, ICANN отозвать лицензию.

Я бы на их месте пополнил вам баланс на 10-20 т.р в счет компенсации, и извинился.

Представьте так кто то от лица фейкового ООО типа Янддекс и уведет домен у yandex на пару часов, дней)))

Ответить
Развернуть ветку
Дмитрий
Автор

Скорее всего это не первый случай, просто не все получают огласку. Пополнить баланс не предлагали 

Ответить
Развернуть ветку
Рекламное Агентство

По-моему только рег ру сейчас альтернатива, остальные не достаточно крупные, могу ошибаться , может кто знает ещё регистраторов с "именем"?

Ответить
Развернуть ветку
REG.RU

Спасибо за рекомендацию)

Ответить
Развернуть ветку
Дмитрий
Автор

После произошедшего, имя и размер компании, не являются для меня приоритетным при выборе)

Ответить
Развернуть ветку
Андрей Котельников

Там хотя бы двухфакторная авторизация есть в личном кабинете, уже неплохо.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Влад Лукьянов

Не говорю конкретно про ТС, но очень часто встречаю у нашего бизнеса нежелание работать с зарубежными продавцами доменов(не ru/su/рф) по причине "а как мы НДС вернём если у нас не будет закрывающих документов". Серьёзно? Ради этих копеек в обороте компании в итоге получают геморрой с настройкой (ЛК наших продавцов весьма далеки от идеала), проблемы с автоматизацией, проблемы аналогичные тому что в посте.
Я не говорю что у зарубежных такое не может случиться, но большинство позволяет подключить хотя бы двухфакторную авторизацию.

Ответить
Развернуть ветку
45 комментариев
Раскрывать всегда