{"id":13760,"url":"\/distributions\/13760\/click?bit=1&hash=3388ba15c914e93bf42e7b84a842bfb878869a35e460a86df78995d13819ad04","title":"\u041f\u0440\u043e\u0434\u044e\u0441\u0435\u0440\u044b vc.ru \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u044e\u0442 \u0448\u0443\u043c\u043e\u0434\u0430\u0432 \u0432 \u0422\u0431\u0438\u043b\u0438\u0441\u0438","buttonText":"\u042d\u0442\u043e \u043a\u0430\u043a?","imageUuid":"bf749ef5-3154-5029-a8d8-4dcbcbfac3ff","isPaidAndBannersEnabled":false}

Угнали домен, что делать? Итоги триллера

Четвёртая статья, посвящённая главному триллеру этого лета на vc.ru. Мы расскажем, что произошло с доменом и чем всё закончилось.

Главные герои многим уже знакомы:

  • Расул — первый администратор домена.
  • Вадим — второй администратор домена.
  • REG.RU — регистратор доменов, который во всём этом пытается разобраться.

Важно понимать, что в целом разбирательство по такому делу как мошенничество, — прерогатива МВД и других уполномоченных органов. Однако помощь клиенту — наша прямая профессиональная обязанность. В ограниченных случаях, с учётом правил доменной зоны и положений оферты, мы имеем право действовать самостоятельно (или совместно с соответствующим реестром доменной зоны), если у нас есть достаточно предоставленных документов и технической информации. В остальных случаях, где по каким-то причинам мы как регистратор не уполномочены принимать решения самостоятельно, — исполняем решение компетентного органа.

Это была не первая ситуация, когда два владельца одного и того же домена сталкиваются, оспаривая правомерность переноса доменного имени. Ситуации бывают самыми разными (и это одна из немногих историй, которая стала интересна широкой аудитории благодаря самим администраторам и их готовности публичного обсуждения). Бывало, что битва начиналась между двумя злоумышленниками, которые не могли поделить украденный домен. Поэтому вместе с тем, чтобы решать вопрос оперативно, мы взвешиваем каждую деталь и действуем строго по регламентам, которые, как мы часто говорим, написаны кровью. И это не просто фраза для устрашения.

Хронология событий

25 июня

Мы получили тикет от Расула (владельца домена) с жалобой о том, что у него угнали домен. По стандартной процедуре мы порекомендовали оперативно обратиться в МВД, одновременно с этим запустили идентификацию нового владельца и ограничили действия с доменом.

Важно. Если у вас произошла подобная ситуация, немедленно составьте обращение в МВД и предоставьте Регистратору скан обращения с номером регистрации, а также заявление с полным изложением всех деталей произошедшего.

Если позволяют правила реестра доменной зоны и договор, регистратор может ограничить действия с доменным именем на период расследования или проведения проверки МВД. Что мы и сделали в этой ситуации.

Важно отметить, что если регистратор видит возможность разрешить вопрос до обращения в органы, то запрашивается и проверяется информация обеих сторон (предыдущего и нового администратора): документы, подтверждающие правомерность покупки домена или идентифицирующие заявителя, дополнительные пояснения и многое другое. В исключительных случаях, когда регистратор имеет достоверные и очевидное доказательства нарушения правил и когда одна из сторон (например, предполагаемый нарушитель) не предоставляет документы или не отвечает, то в соответствии с регламентами и если это не противоречит правилам Реестра доменной зоны, операция переноса может быть отменена.

Важно. Регистратор не вправе совершать операции с доменом, не имея на это правовых оснований. Заявление в полицию и официальное обращение к регистратору являются минимально необходимым в подобных случаях. Стоить помнить, что реестрами устанавливается срок моратория (блокировки) на значимые действия с доменом, который обычно составляет 30 календарных дней.

4 июля

Появляется статья на VC.ru, где Расул, бывший владелец домена, рассказывает свою историю. По его предположению у него взломали почту mail.ru со сложным паролем и 2-факторной аутентификацией и угнали международный домен без авторизации в ЛК у регистратора.

В нашей системе мониторинга (привет, YouScan: )) SMM-служба увидела сообщение о публикации и вышла на связь с клиентом на площадке VC. Как и писал Расул, наши специалисты действительно ещё в первый день обращения запросили заявление с описанием подробных деталей предполагаемого угона и другие подтверждающие документы, указав срок ответа в течение 3–5 рабочих дней. Но ответ он не получил и на 6-й день опубликовал материал.

К этому времени оба администратора предоставили документы, но подлинность некоторых из них вызывала вопросы, в связи с чем мы увеличили срок расследования для всестороннего и детального рассмотрения спора.

5 июля

Итак, у нас есть копии документов от Расула (он предоставил их при первом обращении) и заявление в МВД. Есть документы второго администратора, которые он предоставил по нашему запросу и они вызывают сомнения и вопросы. Исходя из этого, на период расследования мы временно вернули прежние DNS.

Но дальше ещё интереснее.

6 июля

Появляется новый материал на VC об угоне домена, но теперь уже от администратора Вадима. Речь идёт о том же домене. Со слов нового администратора проект куплен пару недель назад, и есть подозрения, что предыдущий владелец в сговоре с регистратором (то есть с нами), из-за того, что мы вернули DNS-серверы, указанные на момент совершения операции. Вадим указал, что параллельно обратился в реестр зоны и уполномоченные органы.

Мы повторно запросили у Вадима материалы, чтобы провести подробный анализ ситуации: идентифицирующие документы, данные о предполагаемой покупке доменного имени; и предложили провести видеозвонок для уточнения деталей, которые показались нам сомнительными.

7 июля — 10 июля

Следующие несколько дней администратор неоднократно переносил время созвона со службой поддержки по различным предлогам, зачастую в самый последний момент. В итоге была согласована окончательная дата видеозвонка — 13 июля.

13 июля

В этот день в условленное время мы созвонились, но наше внимание привлекли несколько фактов: человек находился в каком-то публичном заведении с приглушённым светом и плохой связью (изображение замедлялось, звонок иногда прерывался). Тем не менее мы получили документы, якобы свидетельствующие о продаже доменного имени (обезличенный документ о передаче биткоинов, не содержащий никакой информации о транзакции или получателе). Кроме того, были другие детали, которые указывали на недостоверные факты, которые нам назывались.

Важно. Регистратор вправе запрашивать любые документы, относящиеся к предмету разбирательства, а также требовать юридически значимых заявлений от сторон, а также доказательств и подтверждений добросовестности поведения и операций. Все эти данные нужны регистратору, чтобы при необходимости предоставить их следствию или суду для проведения независимого расследования. Любое уклонение от предоставления таких доказательств трактуется не в пользу стороны.

Немного позже от администратора получили информацию о заявлении в МВД (спойлер: через канцелярию органа нам не подтвердили факт обращения с таким номером).

Пока проверялись новые документы, вечером этого же дня появляется третий материал по этому домену, где первый администратор, Расул, в эмоциях жалуется, что мы его обманули и отдали домен обратно угонщику.

Что произошло? Новый администратор попытался в обход регистратора запустить трансфер домена к новому регистратору, обратившись напрямую к международному партнёру регистратора Tucows (через него был зарегистрирован этот домен; для ряда низко популярных международных зон это нормальная практика).

Чтобы противодействовать переносу домена к новому регистратору, пока не закончено расследование, совместно с Tucows и реестром доменной зоны мы оперативно приостановили трансфер. Через 1,5 часа домен был снова заблокирован для каких-либо действий, но уже на уровне реестра, а не регистратора.

17 июля

Неожиданно мы получаем письмо, где второй администратор Вадим отказывается от домена в связи с тем, что «предыдущий продавец отправил назад полную сумму», и просит передать его первому администратору. Между тем даже после получения этого письма мы зафиксировали несколько попыток перенести домен в обход нас, в обход регистратора Tucows, напрямую через реестр доменной зоны.

Чем всё закончилось?

Мы и коллеги из Tucows завершили все проверки. Итого: подтверждения правомерного приобретения доменного имени новым администратором нет, есть информация о подлоге предоставленных документов и другие технические детали. На основании этого, а также письма от Вадима с отказом от домена и просьбой передать его первому администратору, мы приняли решение вернуть домен Расулу. Совместными действиями ситуацию удалось урегулировать до окончания расследования МВД, которое ведется в настоящий момент. Но теперь его смысл найти ответственного за эти нарушения и добиться того, чтобы никакое нарушение не оставалось безнаказанным.

К сожалению, мы не можем раскрыть многие детали расследования, иначе это будет разглашением информации, влияющей на следствие. Но, возможно, когда-нибудь мы снимем об этом фильм.

А теперь ответы на самые популярные вопросы топика

Но домен перенесли между аккаунтами через форму без авторизации? Что у вас с этим?

Важно понимать, что ключевая проблема была во взломе почты клиента (как предполагаем мы и сам администратор). Именно через неё сделаны все действия. Тот факт, что форма переноса домена между аккаунтами, через которую был сделан запрос на перенос, не требовала авторизации, не делает её более уязвимой, поскольку к заявке на перенос всегда прикладываются документы, и перенос выполняется, только если совпадают приложенные документы и данные владельца домена, а также заявку дополнительно необходимо подтверждать по почте владельца домена (для международных доменов).

Но отметим, что по следам других инцидентов мы действительно немного скорректировали некоторые моменты, в том числе скрыли форму без авторизации на запрос ключа переноса домена к другому регистратору. И с 2019 года в случае подозрений на противозаконные действия мы запрашиваем селфи при обращении клиентов и звоним владельцам доменов.

Ещё раз отметим, что для международных доменов по правилам ICANN Главный идентификационный контакт — это email. С его помощью подтверждаются все критические операции (включение переноса домена, смена владельца). Если злоумышленник получил доступ к email, он может совершить все эти действия.

Как мне обезопасить себя, чтобы избежать подобных ситуаций?

Обеспечьте максимальную безопасность почты. Наши рекомендации:

1. Используйте сложный пароль. Действительно сложный, без qwerty, 123456, -фамилий и дат рождений. Можете использовать менеджер паролей для хранения доступов ко всем важным аккаунтам.

2. Установите SMS-авторизацию для почты (двухфакторная идентификация).

3. Если есть малейшие подозрения на компрометацию данных — сразу же меняйте пароль.

4. Не храните в соцсетях информацию, которая может компрометировать секретные вопросы (имя любимого питомца, девичья фамилия матери). Не пишите в чатах пароли и другие подобные данные.

5. В личном кабинете REG.RU также можно включить двухфакторную авторизацию. Дополнительно можно настроить ограничения на вход в Личный кабинет по IP-адресу. Если вы пользуетесь ЛК только с домашнего или рабочего компьютера со статическими IP-адресами, то это надёжно защитит аккаунт. Подробнее можно узнать в нашей справке. Ещё есть полезный чек-лист в блоге REG.RU.

Почему вы сразу не отдали домен, ведь очевидно действовал мошенник?

Мошенничество — это уголовное преступление. Ни один регистратор не имеет полномочий определять факт преступления и утверждать, что кто-то — мошенник. Но, конечно, мы проверяем и дополнительно запрашиваем документы, если у нас появляются подозрения или мы видим признаки неправомерных действий. На это требуется время, как видно из описания хронологии событий.

Мы немного изменили регламент после нескольких последних похожих кейсов и теперь блокируем действия с доменом на время разбирательства до получения подтверждения о поданном заявлении в МВД при первом обращении владельца домена. Мы всегда открыты к сотрудничеству с органами, готовы предоставлять материалы, которые помогут в расследовании. Более того, возможны ситуации, когда и сам регистратор будет выступать инициатором следствия с целью поддержания баланса в природе.

Вы не можете решать подобные вопросы быстрее?

Ответ на обращение клиента (тикет) в REG.RU занимает от нескольких минут до нескольких часов в зависимости от сложности. В особо трудных случаях ответ может занять несколько дней (если, например, вопрос требует проработки от юристов). Но, как мы отмечали выше, теперь блокировка на операции устанавливается сразу в момент поступления обращения, до завершения разбирательства.

Когда возникает подозрение на угон, невозможно разрешить ситуацию за несколько дней и тем более часов. В процессе задействовано сразу несколько служб: техническая поддержка по доменам, служба безопасности, юристы, отдел по работе с международными реестрами. Все они отвечают за свой участок. При этом в ходе расследования могут появляться новые обстоятельства, дополнительная информация и пояснения, поэтому срок рассмотрения заявки может занимать значительное время. Учитывая, какие запутанные бывают кейсы и какими изощрёнными могут быть злоумышленники, важно действовать рационально, а не эмоционально, и перепроверять каждую деталь, соблюдая регламенты и законодательство.

Предполагается ли компенсация администратору в этом и подобных случаях?

Вины регистратора в том, что почту клиента взломали, нет, говорить о компенсации здесь некорректно. Мы были на связи с администратором и делали всё, что от нас зависело, чтобы вернуть домен. Нам жаль, что клиент столкнулся с такой ситуацией, и мы предоставим ему бонус в качестве поддержки. Но это не стоит расценивать как компенсацию, скорее это знак оптимистичного настроя. Ведь, «‎В чем сила? В правде!».

Часто ли мошенники угоняют домен?

В год это несколько десятков случаев, но в большинстве своём практически нет ситуаций, которая бы в итоге не обернулась победой реального администратора домена. Да, иногда это занимает время, но если действовать по закону (обратиться в МВД, следовать рекомендациям Регистратора), то правда всегда восторжествует.

В подобной ситуации все домены одинаковые?

Каждая доменная зона имеет свои правила. И в действительности национальные доменные зоны (.RU и. РФ) существеннее защищены от мошенничества, так как в них не считается юридически значимой процедура запроса критического действия с доменом через email. А вот международные домены как раз наоборот, требуют проводить все операции строго удалёнными способами через email. Потеря контроля над электронной почтой грозит ситуациями подобными этой.

Постскриптум

В начале августа на VC.ru появился ещё один материал на VC о неправомерной блокировке домена. Техническая информация вновь указывает на признаки мошенничества, и выходит, что персонажи, замеченные в неправомерных действиях, снова используют VC.ru для дезинформации читателей и через провокации пытаются добиться нужных им действий. Этим делом уже занимаются в МВД.

А 16 августа коллеги из Tucows сообщили о новой попытке угона домена: якобы к ним напрямую обратился сам Расул с просьбой снять блокировку с домена. Они были в курсе всей ситуации и конечно направили к нам запрос. Мы, удостоверившись напрямую у Расула, и убедившись, что у него нет раздвоения личности, сохранили статус домена. Это ещё раз подчёркивает тот факт, что первое и самое важное — это безопасность ваших персональных данных и email.

0
36 комментариев
Написать комментарий...
Мурад Муртазалиев

У нашего клиента угнали домен. Мы проявили озабоченность, и попросили подождать его до 5 дней. На 6 день он написал статью на VC и нам пришлось действовать 

Ответить
Развернуть ветку
Расул Камилов

Здравствуйте. Что могу сказать или дополнить ко всему? Нет слов одни шокирующие эмоции). Для меня это стало кошмарным сном лета, даже думать неприятно о том что случилось. Когда угнали домен я не верил, что мне его вообще смогут вернуть. Но после Reg ru доказали, что являются отличным регистратором доменных имён, которые разбираются и поддерживают правду. Зря грешил на них, теперь благодарен им и уходить не собираюсь. А по поводу выше сказанных моментов, где якобы я вернул Вадиму деньги, такого даже не было, я не знаю кто он или откуда вообще взялся, однако его коварству нет предела, потому что еще были попытки угона.

Ответить
Развернуть ветку
Александр Привалов
отличным регистратором

Ну одного примера на 10000 маловато :/

Ответить
Развернуть ветку
REG.RU

Сейчас бы по плюсикам оценивать)

Ответить
Развернуть ветку
Александр Привалов

Справедливо, давайте по-другому: если смешать бочку меда и бочку навоза - получится что?

Ответить
Развернуть ветку
Pixel Lens

две бочки биотоплива для хиппи-мобиля?

Ответить
Развернуть ветку
Привет

Домен какой?

Ответить
Развернуть ветку
Иван Сергеев

Расульчик отмалчивается... Есть подозрение что стремный сайтик на этом домене крутится...

Ответить
Развернуть ветку
Привет

Ага или сериал-нативочка от рег.ру

Ответить
Развернуть ветку
Trail soul

Ранее в сериале кто-то писал, что там эро-видео. Расул не подтвердил и не опроверг;)

Ответить
Развернуть ветку
El Negro

А должен?

Ответить
Развернуть ветку
Шамиль Джанболатов

Может боится нового угона?

Ответить
Развернуть ветку
Иван Сергеев

Расульчик, гамарджоба или как у вас там, засвети сайтик то, людям интересно ...

Ответить
Развернуть ветку
Александр Данильчук

Здравствуйте Расул, я попал в такую же ситуацию, этот же "Вадим" угнал мой домен, вот моя статья https://vc.ru/u/561775-aleksandr-danilchuk/145120-ugnali-domen-s-webnames-ru . Пожалуйста, могли бы вы написать мне в ЛС? я не могу вам написать.

Ответить
Развернуть ветку
Sandy Bell

Молодцы, стараются.
Припомнилось
Мошенничество — это уголовное преступление. Ни один регистратор не имеет полномочий определять факт преступления и утверждать, что кто-то — мошенник. Но, конечно, мы проверяем и дополнительно запрашиваем документы, если у нас появляются подозрения или мы видим признаки неправомерных действий. На это требуется время, как видно из описания хронологии событий.
, - - - - - - -
Зато банкам ничего не надо для того чтобы за секунду принять решение что ты мошенник и заблокировать твоё бабло,. Например если ты просто шустрый и резко снял кэш, ну и тп.

Ответить
Развернуть ветку
Всвиторе
Ответить
Развернуть ветку
Иван Сергеев

Статья полное фуфло. Ничего не раскрыто. Написано только то, что и так было в комментариях под тремя статьями по теме от фигурантов, только своими словами и хронологически. @REG.RU давай подробности...

Ответить
Развернуть ветку
REG.RU

Мы изложили всё по порядку. За кулисами осталась та часть информации, которая является конфиденциальной.

Уточните, каких подробностей вам не хватает?

Ответить
Развернуть ветку
Иван Сергеев

Оспариваемого доменного имени. А может на нем сайт с детской порнографией или пиратский контент? А я пожаловаться на него в Роскомнадзор хочу!!!??? 

Ответить
Развернуть ветку
Запасной колос

Комментарий недоступен

Ответить
Развернуть ветку
Иван Сергеев

Кстати точно. Нужно у Вадима спросить. Ему же теперь пофигу...

Ответить
Развернуть ветку
Константин Антонов

Кому какое дело до твоих хотелок, прости пожалуйста?

Ответить
Развернуть ветку
Наиль Гафуров

Очень круто отработали ! Браво. С учетом размера компании, слаженно как часы сработали все отделы. Так должно быть везде. Низкий поклон 🙇‍♂️ следил внимательно тоже остаюсь с вами !

Ответить
Развернуть ветку
REG.RU

Спасибо, очень приятно читать)

Ответить
Развернуть ветку
Привет

Я все ждал ссылку, хотел уже увидеть, что это за домен такой. Опять нету :(

Ответить
Развернуть ветку
Lenny Y

Так сайт покажите наконец, интересно ж

Ответить
Развернуть ветку
Alex Teplo

Спасибо за спокойный и детальный «разбор полёта» и описание нужных действий в подобных случаях!
Лайк 👍🏻 

Ответить
Развернуть ветку
Alex Teplo

Иван С., свою нелюбовь к отечественным регистраторам не нужно проецировать на оценки моего сообщения. Я, на всякий случай, не сотрудник и не клиент ТС, и со всех боков не заинтересованное лицо. А заметка уместная и верная, могу ещё пару раз повторить! Н-нада?! )

Ответить
Развернуть ветку
Prolis Labkk

А поделитесь пжалста ссылкой на кейс, где регистратору пришлось выкупать домен для клиента. Или мне приснилось?

Ответить
Развернуть ветку
REG.RU

Это не сон)
Ловите ссылку на статью: https://vc.ru/services/149805-kak-za-nedelyu-poluchit-aktiv-v-25-mln-rubley

Ответить
Развернуть ветку
Ilya Rovda

В той статье больше вопросов чем ответов.

Ответить
Развернуть ветку
Привет

Недавно вроде тут была статья

Ответить
Развернуть ветку
Sergey Shabanov

Ну что можно сказать?
Респект и уважуха!
Как пример того, что нормальные технари все таки могут обращать внимание на свои косяки и не только их исправлять, но и предотвращать их появление в будущем.

Ответить
Развернуть ветку
REG.RU

Респект за респект)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Александр Семенов

Всем привет. Вот это боевик... Я пока все топики прочитал... столько испытал))) и смех и страх). Благо все решилось.

Ответить
Развернуть ветку
Александр Данильчук

Вот новая история с участием этого Вадима Диденко и REG.RU - https://vc.ru/claim/154433-kak-u-menya-ugnali-domen-s-webnames-ru-i-perenesli-k-reg-ru

Ответить
Развернуть ветку
Читать все 36 комментариев
null