Угнали домен, что делать? Итоги триллера

Четвёртая статья, посвящённая главному триллеру этого лета на vc.ru. Мы расскажем, что произошло с доменом и чем всё закончилось.

Главные герои многим уже знакомы:

• Расул — первый администратор домена.
• Вадим — второй администратор домена.
• REG.RU — регистратор доменов, который во всём этом пытается разобраться.

Важно понимать, что в целом разбирательство по такому делу как мошенничество, — прерогатива МВД и других уполномоченных органов. Однако помощь клиенту — наша прямая профессиональная обязанность. В ограниченных случаях, с учётом правил доменной зоны и положений оферты, мы имеем право действовать самостоятельно (или совместно с соответствующим реестром доменной зоны), если у нас есть достаточно предоставленных документов и технической информации. В остальных случаях, где по каким-то причинам мы как регистратор не уполномочены принимать решения самостоятельно, — исполняем решение компетентного органа.

Это была не первая ситуация, когда два владельца одного и того же домена сталкиваются, оспаривая правомерность переноса доменного имени. Ситуации бывают самыми разными (и это одна из немногих историй, которая стала интересна широкой аудитории благодаря самим администраторам и их готовности публичного обсуждения). Бывало, что битва начиналась между двумя злоумышленниками, которые не могли поделить украденный домен. Поэтому вместе с тем, чтобы решать вопрос оперативно, мы взвешиваем каждую деталь и действуем строго по регламентам, которые, как мы часто говорим, написаны кровью. И это не просто фраза для устрашения.

Мы получили тикет от Расула (владельца домена) с жалобой о том, что у него угнали домен. По стандартной процедуре мы порекомендовали оперативно обратиться в МВД, одновременно с этим запустили идентификацию нового владельца и ограничили действия с доменом.

Важно. Если у вас произошла подобная ситуация, немедленно составьте обращение в МВД и предоставьте Регистратору скан обращения с номером регистрации, а также заявление с полным изложением всех деталей произошедшего.

Если позволяют правила реестра доменной зоны и договор, регистратор может ограничить действия с доменным именем на период расследования или проведения проверки МВД. Что мы и сделали в этой ситуации.

Важно отметить, что если регистратор видит возможность разрешить вопрос до обращения в органы, то запрашивается и проверяется информация обеих сторон (предыдущего и нового администратора): документы, подтверждающие правомерность покупки домена или идентифицирующие заявителя, дополнительные пояснения и многое другое. В исключительных случаях, когда регистратор имеет достоверные и очевидное доказательства нарушения правил и когда одна из сторон (например, предполагаемый нарушитель) не предоставляет документы или не отвечает, то в соответствии с регламентами и если это не противоречит правилам Реестра доменной зоны, операция переноса может быть отменена.

Важно. Регистратор не вправе совершать операции с доменом, не имея на это правовых оснований. Заявление в полицию и официальное обращение к регистратору являются минимально необходимым в подобных случаях. Стоить помнить, что реестрами устанавливается срок моратория (блокировки) на значимые действия с доменом, который обычно составляет 30 календарных дней.

Появляется статья на VC.ru, где Расул, бывший владелец домена, рассказывает свою историю. По его предположению у него взломали почту mail.ru со сложным паролем и 2-факторной аутентификацией и угнали международный домен без авторизации в ЛК у регистратора.

В нашей системе мониторинга (привет, YouScan: )) SMM-служба увидела сообщение о публикации и вышла на связь с клиентом на площадке VC. Как и писал Расул, наши специалисты действительно ещё в первый день обращения запросили заявление с описанием подробных деталей предполагаемого угона и другие подтверждающие документы, указав срок ответа в течение 3–5 рабочих дней. Но ответ он не получил и на 6-й день опубликовал материал.

К этому времени оба администратора предоставили документы, но подлинность некоторых из них вызывала вопросы, в связи с чем мы увеличили срок расследования для всестороннего и детального рассмотрения спора.

Итак, у нас есть копии документов от Расула (он предоставил их при первом обращении) и заявление в МВД. Есть документы второго администратора, которые он предоставил по нашему запросу и они вызывают сомнения и вопросы. Исходя из этого, на период расследования мы временно вернули прежние DNS.

Но дальше ещё интереснее.

Появляется новый материал на VC об угоне домена, но теперь уже от администратора Вадима. Речь идёт о том же домене. Со слов нового администратора проект куплен пару недель назад, и есть подозрения, что предыдущий владелец в сговоре с регистратором (то есть с нами), из-за того, что мы вернули DNS-серверы, указанные на момент совершения операции. Вадим указал, что параллельно обратился в реестр зоны и уполномоченные органы.

Мы повторно запросили у Вадима материалы, чтобы провести подробный анализ ситуации: идентифицирующие документы, данные о предполагаемой покупке доменного имени; и предложили провести видеозвонок для уточнения деталей, которые показались нам сомнительными.

Следующие несколько дней администратор неоднократно переносил время созвона со службой поддержки по различным предлогам, зачастую в самый последний момент. В итоге была согласована окончательная дата видеозвонка — 13 июля.

В этот день в условленное время мы созвонились, но наше внимание привлекли несколько фактов: человек находился в каком-то публичном заведении с приглушённым светом и плохой связью (изображение замедлялось, звонок иногда прерывался). Тем не менее мы получили документы, якобы свидетельствующие о продаже доменного имени (обезличенный документ о передаче биткоинов, не содержащий никакой информации о транзакции или получателе). Кроме того, были другие детали, которые указывали на недостоверные факты, которые нам назывались.

Важно. Регистратор вправе запрашивать любые документы, относящиеся к предмету разбирательства, а также требовать юридически значимых заявлений от сторон, а также доказательств и подтверждений добросовестности поведения и операций. Все эти данные нужны регистратору, чтобы при необходимости предоставить их следствию или суду для проведения независимого расследования. Любое уклонение от предоставления таких доказательств трактуется не в пользу стороны.

Немного позже от администратора получили информацию о заявлении в МВД (спойлер: через канцелярию органа нам не подтвердили факт обращения с таким номером).

Пока проверялись новые документы, вечером этого же дня появляется третий материал по этому домену, где первый администратор, Расул, в эмоциях жалуется, что мы его обманули и отдали домен обратно угонщику.

Что произошло? Новый администратор попытался в обход регистратора запустить трансфер домена к новому регистратору, обратившись напрямую к международному партнёру регистратора Tucows (через него был зарегистрирован этот домен; для ряда низко популярных международных зон это нормальная практика).

Чтобы противодействовать переносу домена к новому регистратору, пока не закончено расследование, совместно с Tucows и реестром доменной зоны мы оперативно приостановили трансфер. Через 1,5 часа домен был снова заблокирован для каких-либо действий, но уже на уровне реестра, а не регистратора.

Неожиданно мы получаем письмо, где второй администратор Вадим отказывается от домена в связи с тем, что «предыдущий продавец отправил назад полную сумму», и просит передать его первому администратору. Между тем даже после получения этого письма мы зафиксировали несколько попыток перенести домен в обход нас, в обход регистратора Tucows, напрямую через реестр доменной зоны.

Мы и коллеги из Tucows завершили все проверки. Итого: подтверждения правомерного приобретения доменного имени новым администратором нет, есть информация о подлоге предоставленных документов и другие технические детали. На основании этого, а также письма от Вадима с отказом от домена и просьбой передать его первому администратору, мы приняли решение вернуть домен Расулу. Совместными действиями ситуацию удалось урегулировать до окончания расследования МВД, которое ведется в настоящий момент. Но теперь его смысл найти ответственного за эти нарушения и добиться того, чтобы никакое нарушение не оставалось безнаказанным.

К сожалению, мы не можем раскрыть многие детали расследования, иначе это будет разглашением информации, влияющей на следствие. Но, возможно, когда-нибудь мы снимем об этом фильм.

Важно понимать, что ключевая проблема была во взломе почты клиента (как предполагаем мы и сам администратор). Именно через неё сделаны все действия. Тот факт, что форма переноса домена между аккаунтами, через которую был сделан запрос на перенос, не требовала авторизации, не делает её более уязвимой, поскольку к заявке на перенос всегда прикладываются документы, и перенос выполняется, только если совпадают приложенные документы и данные владельца домена, а также заявку дополнительно необходимо подтверждать по почте владельца домена (для международных доменов).

Но отметим, что по следам других инцидентов мы действительно немного скорректировали некоторые моменты, в том числе скрыли форму без авторизации на запрос ключа переноса домена к другому регистратору. И с 2019 года в случае подозрений на противозаконные действия мы запрашиваем селфи при обращении клиентов и звоним владельцам доменов.

Ещё раз отметим, что для международных доменов по правилам ICANN Главный идентификационный контакт — это email. С его помощью подтверждаются все критические операции (включение переноса домена, смена владельца). Если злоумышленник получил доступ к email, он может совершить все эти действия.

Обеспечьте максимальную безопасность почты. Наши рекомендации:

1. Используйте сложный пароль. Действительно сложный, без qwerty, 123456, -фамилий и дат рождений. Можете использовать менеджер паролей для хранения доступов ко всем важным аккаунтам.

2. Установите SMS-авторизацию для почты (двухфакторная идентификация).

3. Если есть малейшие подозрения на компрометацию данных — сразу же меняйте пароль.

4. Не храните в соцсетях информацию, которая может компрометировать секретные вопросы (имя любимого питомца, девичья фамилия матери). Не пишите в чатах пароли и другие подобные данные.

5. В личном кабинете REG.RU также можно включить двухфакторную авторизацию. Дополнительно можно настроить ограничения на вход в Личный кабинет по IP-адресу. Если вы пользуетесь ЛК только с домашнего или рабочего компьютера со статическими IP-адресами, то это надёжно защитит аккаунт. Подробнее можно узнать в нашей справке. Ещё есть полезный чек-лист в блоге REG.RU.

Мошенничество — это уголовное преступление. Ни один регистратор не имеет полномочий определять факт преступления и утверждать, что кто-то — мошенник. Но, конечно, мы проверяем и дополнительно запрашиваем документы, если у нас появляются подозрения или мы видим признаки неправомерных действий. На это требуется время, как видно из описания хронологии событий.

Мы немного изменили регламент после нескольких последних похожих кейсов и теперь блокируем действия с доменом на время разбирательства до получения подтверждения о поданном заявлении в МВД при первом обращении владельца домена. Мы всегда открыты к сотрудничеству с органами, готовы предоставлять материалы, которые помогут в расследовании. Более того, возможны ситуации, когда и сам регистратор будет выступать инициатором следствия с целью поддержания баланса в природе.

Ответ на обращение клиента (тикет) в REG.RU занимает от нескольких минут до нескольких часов в зависимости от сложности. В особо трудных случаях ответ может занять несколько дней (если, например, вопрос требует проработки от юристов). Но, как мы отмечали выше, теперь блокировка на операции устанавливается сразу в момент поступления обращения, до завершения разбирательства.

Когда возникает подозрение на угон, невозможно разрешить ситуацию за несколько дней и тем более часов. В процессе задействовано сразу несколько служб: техническая поддержка по доменам, служба безопасности, юристы, отдел по работе с международными реестрами. Все они отвечают за свой участок. При этом в ходе расследования могут появляться новые обстоятельства, дополнительная информация и пояснения, поэтому срок рассмотрения заявки может занимать значительное время. Учитывая, какие запутанные бывают кейсы и какими изощрёнными могут быть злоумышленники, важно действовать рационально, а не эмоционально, и перепроверять каждую деталь, соблюдая регламенты и законодательство.

Вины регистратора в том, что почту клиента взломали, нет, говорить о компенсации здесь некорректно. Мы были на связи с администратором и делали всё, что от нас зависело, чтобы вернуть домен. Нам жаль, что клиент столкнулся с такой ситуацией, и мы предоставим ему бонус в качестве поддержки. Но это не стоит расценивать как компенсацию, скорее это знак оптимистичного настроя. Ведь, «‎В чем сила? В правде!».

В год это несколько десятков случаев, но в большинстве своём практически нет ситуаций, которая бы в итоге не обернулась победой реального администратора домена. Да, иногда это занимает время, но если действовать по закону (обратиться в МВД, следовать рекомендациям Регистратора), то правда всегда восторжествует.

Каждая доменная зона имеет свои правила. И в действительности национальные доменные зоны (.RU и. РФ) существеннее защищены от мошенничества, так как в них не считается юридически значимой процедура запроса критического действия с доменом через email. А вот международные домены как раз наоборот, требуют проводить все операции строго удалёнными способами через email. Потеря контроля над электронной почтой грозит ситуациями подобными этой.

В начале августа на VC.ru появился ещё один материал на VC о неправомерной блокировке домена. Техническая информация вновь указывает на признаки мошенничества, и выходит, что персонажи, замеченные в неправомерных действиях, снова используют VC.ru для дезинформации читателей и через провокации пытаются добиться нужных им действий. Этим делом уже занимаются в МВД.

А 16 августа коллеги из Tucows сообщили о новой попытке угона домена: якобы к ним напрямую обратился сам Расул с просьбой снять блокировку с домена. Они были в курсе всей ситуации и конечно направили к нам запрос. Мы, удостоверившись напрямую у Расула, и убедившись, что у него нет раздвоения личности, сохранили статус домена. Это ещё раз подчёркивает тот факт, что первое и самое важное — это безопасность ваших персональных данных и email.