Domain abuse jest, niestety, dosyć częstym zjawiskiem w internecie. Podszywając się pod rozpoznawalną i darzoną zaufaniem domenę cyberprzestępcy próbują wyłudzać dane od klientów banków, rozprzestrzeniają złośliwe oprogramowanie i zasypują skrzynki mailowe spamerskimi wiadomościami. Jak sprawdzić, czy dana domena jest narzędziem w rękach hakerów? Na to pytanie odpowiemy poniżej.
Abuse check domeny — co to jest?
Zacznijmy od początku. Samo domain abuse — czyli „nadużycie domeny” odnosi się do wszystkich nielegalnych lub niepożądanych działań prowadzonych przy użyciu nazw domen. Zalicza się do nich m.in.:
- phishing — podszywanie się pod zaufaną domenę w celu wyłudzenia informacji poufnych — np. hasła do konta lub danych bankowych; jedna z najczęściej stosowanych technik przez cyberprzestępców;
- rozpowszechnianie złośliwego oprogramowania (malware) — w tym przypadku hakerzy podszywają się pod domenę, aby skłonić nieświadomego użytkownika do pobrania zawirusowanego pliku;
- spam — wykorzystywanie zaufanej domeny w celu masowego rozsyłania wiadomości e-mail; często połączone z phishingiem lub rozprzestrzenianiem malware;
- squatting domenowy — polega na rejestracji domen bardzo podobnych do popularnych witryn w celu wyłudzenia ruchu, przechwycenia użytkowników, którzy niepoprawnie wpisują adresy w przeglądarce lub uwiarygodnienia ataku phishingowego.
Zdj 1. Powyższe domeny były używane w atakach phishingowych — w tym przypadku cyberprzestępcy chcieli wykorzystać rozpoznawalność Facebooka.
Źródło: Domain Squatting: The Phisher-man’s Friend — Reliaquest
A to tylko kilka przykładów. Domain abuse może naprawdę zaszkodzić bezpieczeństwu Twoich klientów — a co za tym idzie, także i reputacji Twojej firmy. Dlatego też warto regularnie monitorować status swoich domen, przeprowadzając tzw. domain abuse check.
Kontrola abuse check polega na identyfikacji podejrzanych aktywności związanych z daną domeną. Wykorzystuje się do tego ogólnodostępne w sieci narzędzia, które na bieżąco oceniają reputację domen, analizują ich integralność i zbierają zgłoszenia od użytkowników.
Jak sprawdzić abuse check swojej domeny?
Jeśli podejrzewasz, że Twoja domena mogła zostać wykorzystana przez cyberprzestępców — lub po prostu chcesz upewnić się, że jej zabezpieczenia wciąż „są na miejscu”, możesz podjąć przynajmniej kilka działań:
- kontrola domeny w WHOIS — czyli w bazie danych gromadzącej podstawowe informacje na temat właścicieli domen; pomogą Ci w tym platformy takie jak Who.is czy Krajowy Rejestr Domen;
- skan jakości zabezpieczeń domeny przy pomocy Google Safe Browsing — w ten sposób dowiesz się, jak bezpieczeństwo Twojej strony ocenia samo Google; narzędzie analizuje domeny przede wszystkim pod kątem złośliwego oprogramowania oraz błędów w kodzie witryny; podobne możliwości oferują m.in. VirusTotal czy Sucuri SiteCheck;
Zdj 2. Za wszelką cenę chcemy uniknąć sytuacji, w której użytkownikom naszej strony będzie musiał wyświetlić się komunikat Google Safe Browsing.
Źródło: Enhanced Protection — The strongest level of Safe Browsing protection Google Chrome has to offer — Google Security Blog
- sprawdzenie domeny w bazach danych, gromadzących zgłoszenia nt. potencjalnych nadużyć — najpopularniejszym tego typu narzędziem jest AbuseIPDB;
- regularna analiza logów serwera — czyli informacji o działalności serwera i ruchu sieciowym; ich monitorowanie pozwala wykryć m.in. ewentualne próby uzyskania nieautoryzowanego dostępu.
Co zrobić gdy domena wykazuje wysoki abuse check?
Jeżeli analizując status swojej domeny dostrzegłeś jakiekolwiek nieprawidłowości lub ślady podejrzanej aktywności osób trzecich — radzimy reagować jak najszybciej. W przeciwnym razie stracisz nie tylko zaufanie klientów, ale także i przeglądarek (roboty Google blokują widoczność stron uznawanych za niebezpieczne) oraz serwisów mailowych (posiadających dość czułe filtry antyspamowe). Oto kilka kroków, które pomogą Ci zaradzić takiej sytuacji:
- skontaktuj się ze swoimi klientami — poinformuj ich o zaistniałym problemie i wskaż, na jakie działania ze strony cyberprzestępców powinni uważać, aby nie paść ofiarą phishingu lub złośliwego oprogramowania;
- zgłoś problem dostawcy usług hostingowych — niektóre problemy wymagają interwencji po stronie hostingu, dlatego też jego dostawca powinien jak najszybciej dowiedzieć się o naruszeniach bezpieczeństwa domeny;
- wzmocnij zabezpieczenia strony — absolutnie najważniejszy krok, który pozwoli uchronić Twoją domenę (i dane Twoich klientów) przed przyszłymi atakami; radzimy na pierwszym miejscu zadbać o to, aby wszystkie elementy strony były zaktualizowane do najnowszych wersji (to właśnie w przestarzałych wtyczkach i integracjach najczęściej kryją się luki), a następnie — zastanowić się np. nad wdrożeniem dwuskładnikowego uwierzytelniania czy modyfikacją systemu hasłowania; więcej o tym, jak zabezpieczać dane w sklepie online piszemy w naszych pozostałych artykułach.
- skorzystaj z jednego z rozszerzeń protokołu DNS — czyli dodatkowej „warstwy ochronnej”, szyfrującej ruch na domenie i zabezpieczającej przed niepożądanymi modyfikacjami serwera (lub podszywaniem się pod niego — co jest często wykorzystywane w atakach phishingowych); takimi rozszerzeniami są: DNSSEC, DNS-over-HTTPS oraz DNS-over-TLS.
Na koniec — jeżeli uda Ci się rozwiązać problemy bezpieczeństwa swojej domeny, warto skontaktować się z Google i poprosić o ponowną weryfikację strony w celu usunięcia jej z listy zagrożeń.
