20:00
25/8/2019

Każda strona w Internecie potrzebuje adresu, czyli domeny internetowej. W tej chwili na świecie zarejestrowanych jest około 340 milionów domen, z czego 40% stanowią domeny .com. W Polsce istnieje 2,6 miliona domen .pl, i codziennie przybywa prawie 3000 nowych. Domeny nie są jednak kupowane na zawsze – raz nabytą nazwę domeny trzeba regularnie odnawiać. W przeciwnym wypadku domena najpierw wejdzie w tzw. „okres wygasania” i zniknie z sieci, a potem zostanie całkowicie usunięta z rejestrów i udostępniona do ponownego zakupu innym osobom.

Wbrew pozorom, sama „strata” domeny może nie być najgorszym problemem, jaki spotka daną firmę i jej klientów. Wygasające i przechwycone domeny można też wykorzystać do kilku sprytnych ataków. I temu właśnie chcemy poświęcić ten artykuł.

Niniejszy artykuł stworzyła ekipa serwisu Aftermarket.pl, który od lat specjalizuje się w przechwytywaniu domen.

 

Fałszywe sklepy, które okradały Polaków

Jak niebezpieczne może być wygaśnięcie domeny, pod którą wcześniej funkcjonował inny serwis, przekonali się niedawno klienci dokonujący zakupów w witrynach caxsoft.pl oraz zapraszamybowarto.pl. Pod tymi adresami jakiś czas temu funkcjonowały prawdziwe sklepy internetowe. Ich właściciele jednak postanowili je zlikwidować i nie przedłużać domen – jedna firma skupiła się wyłącznie na sprzedaży w innym kanale, a druga całkowicie zamknęła swoją działalność.

Korzystając z tego, oszuści zarejestrowali domeny ponownie i umieścili pod nimi kopie sklepów, za pomocą których wyłudzali pieniądze nie mając zamiaru realizować zamówień. W oszustwie pomagał niewątpliwie fakt, że prawdziwe sklepy funkcjonowały w sieci od lat gromadząc wiele pozytywnych opinii m.in. na Ceneo i Opineo, co uśpiło czujność wielu kupujących.

Wielkie firmy, które zapomniały odnowić domeny

Przygotowując się do premiery Windows 2000, Microsoft zarejestrował domenę hardware-update.com przekierowującą na stronę z informacjami o wymaganiach sprzętowych tego systemu. Jeśli instalator Windows 2000 wykrył np. że BIOS komputera nie był zgodny z wymaganiami systemu, nakazywał użytkownikowi przejść pod ten adres, który miał pokierować go do strony producenta, gdzie będzie mógł pobrać aktualizację BIOSu. Tyle tylko że kilka lat później ktoś w firmie Microsoft zapomniał odnowić domenę, która została skasowana i zarejestrowana ponownie przez zupełnie obcą osobę. Zaowocowało to setkami postów o treści

„Instalator Windows każe mi przejść na stronę hardware-update.com, a tam nic nie ma”

pojawiających się na różnych forach internetowych jeszcze kilkanaście lat po premierze systemu.

Nie jest to zresztą jedyna domenowa wpadka Microsoftu. W 1999 roku zapomnieli odnowić swoją domenę passport.com, używaną w procesie uwierzytelniania m.in. do usługi pocztowej Hotmail. Osoba, która zarejestrowała ponownie domenę odsprzedała ją z powrotem za 500 dolarów, przeznaczając pieniądze na cele charytatywne.

Jeśli jednak myślicie, że Microsoft nauczył się czegoś z tych dwóch historii, to bardzo się mylicie. W 2003 roku firma zapomniała odnowić kolejną domenę, tym razem hotmail.co.uk, która także została przejęta przez inną osobę. Zgodnie z relacją nowego właściciela, próbował on bezskutecznie przez dwa tygodnie (!) skontaktować się z kimś w firmie i zwrócić domenę. Dopiero gdy sprawą zainteresowała się prasa, poprzedni właściciel podjął działania celem odzyskania domeny.

Co wspólnego ma Play i Lady Pank?

Wpadki tego typu, choć nie tak spektakularne, zdarzają się firmom na każdym kroku. W roku 2010 strona internetowa portalu Foursquare znikła na jakiś czas z sieci. Pod domeną wyświetlały się reklamy, umieszczone tam przez rejestratora GoDaddy ponieważ właściciele serwisu zapomnieli o odnowieniu domeny. Na szczęście w tym wypadku zorientowali się oni w porę i domena nie zdążyła całkowicie wygasnąć.

W 2008 roku z tego samego powodu na kilkadziesiąt minut znikła z sieci strona operatora Play, działająca jeszcze wtedy pod adresem playmobile.pl. W 2006 roku wygasła domena oficjalnego serwisu zespołu Lady Pank, która po ponownej rejestracji została zwrócona zespołowi.

Phishing? Malware?

Wiele takich historii nie ma jednak szczęśliwego zakończenia, i utracone domeny nie wracają do poprzednich właścicieli. Osobom mającym choćby blade pojęcie o bezpieczeństwie aplikacji internetowych podczas czytania poprzednich akapitów powinna zapalić się czerwona lampka. A co, gdyby pod przejętym adresem hardware-update.com ktoś umieścił stronę rozpowszechniającą złośliwe oprogramowanie, podszywające się pod program aktualizujący BIOS?

Ponieważ komunikat z nazwą strony wyświetlał się dziesiątkom, a może nawet setkom tysięcy użytkowników, tego typu atak miałby bardzo duży zasięg. Domenę passport.com też ktoś mógłby wykorzystać do niecnych celów — wystarczyłoby zacząć zbierać hasła do poczty Hotmail. Tego typu ataki byłyby bardzo skuteczne — domeny przecież byłyby „prawdziwe”, nie miały żadnych literówek.

Ale podmiana treści pod przechwyconą domeną to nie jedyne zagrożenie… Zanim jednak przejdziemy do opisu ataków, wspomnijmy o najczęstszym powodzie, dla którego ludzie przechwytują domeny. Zgadliście, chodzi o pieniądze. I to niemałe…

Czy na przechwytywaniu wciąż da się zarobić?

Jeszcze 15 lat temu przejmowanie wygasających domen internetowych było dość niszowym zajęciem, a domeny internetowe, nawet bardzo cenne, „leżały” wolne po usunięciu przez kilkanaście minut albo nawet godzin zanim ktoś zarejestrował je ponownie.

Dzisiaj przechwytywanie domen, bo takim terminem określa się ten proces, to dochodowe zajęcie którym parają się tysiące osób. Oczywiście nie samodzielnie — istnieją wyspecjalizowane serwisy przechwytujące domeny, które w kilka milisekund po uwolnieniu domeny rejestrują ją ponownie. W Polsce największym z nich jest należący do nas AfterMarket.pl — nasi klienci przechwytują około 3500 domen miesięcznie.

Znaczna część domen przechwytywana jest właśnie ze względu na to, że poprzednio znajdowała się pod nimi jakaś wartościowa strona internetowa. Takie domeny są cenne z punktu widzenia pozycjonowania (jako tzw. zaplecze), ponieważ posiadają już zwykle pewną liczbę stron i odnośników zaindeksowanych w wyszukiwarkach.

Parkowanie domen

Drugim sposobem na zarabianie na takich domenach jest umieszczenie na nich stron z reklamami (tak zwany parking domen), dzięki którym nowy właściciel adresu zarabia. Zazwyczaj w Internecie istnieją już odwołania do takich stron z innych serwisów, mogą też być one zapisane w zakładkach przeglądarek internetowych i innych miejscach. Dlatego domeny te są po wygaśnięciu nadal odwiedzane przez internautów klikających w reklamy zapewniają przychód osobie, która przechwyciła domenę.

Najczęściej treści na zaparkowanych stronach serwowane są (za pośrednictwem serwisów parkingowych takich jak ParkingCrew) przez Google – są to dokładnie te same reklamy, które widzicie po wpisaniu różnych haseł w wyszukiwarce. Algorytmy Google dbają o jak najlepsze dopasowanie treści reklam do tego, co poprzednio znajdowało się pod domenę, co zwiększa „klikalność” reklam. Ocenia się, że nawet 75% wszystkich domen internetowych nie jest obecnie wykorzystywana do umieszczenia pod nimi stron, tylko zaparkowana w różny sposób.

Ponieważ przechwytywanie domen dla celów SEO oraz parkingu to obecnie lukratywny biznes, serwisy przechwytujące pozwalają na łatwe wyszukiwanie adresów, które mogą posłużyć do tego celu. Można więc przeszukiwać listy domen np. pod kątem liczby stron zaindeksowanych w wyszukiwarkach albo liczby i jakości odnośników prowadzących do nich (co ma niebagatelne znaczenie dla przydatności domeny pod zaplecze pozycjonowania), albo za pomocą wskaźnika publikowanego przez serwis Alexa.com, pozwalającego na oszacowanie liczby osób odwiedzających stronę (bardzo istotnej dla potencjalnych zysków z parkingu). Innymi słowy, znalezienie i przechwycenie domen, pod którymi znajdowała się kiedyś strona internetowa, jest bardzo proste, co stanowi wciąż duże zaskoczenie dla wielu webmasterów.

Obecnie przekonanie, że

„nic się takiego nie stanie, jeśli nie przedłużę swojej domeny”

jest niestety nieprawdziwe. Jeśli pod domeną znajdowała się kiedykolwiek strona internetowa, która została zaindeksowana w Google albo zdobyła w inny sposób choćby minimalną popularność, z dużym prawdopodobieństwem ktoś będzie zainteresowany przechwyceniem takiej domeny, bo w skali roku zarobi na niej więcej niż będzie musiał za nią zapłacić. Nie zawsze wiele więcej, ale mając kilkaset lub tysiące domen, nawet kilka złotych zysku na domenie generuje niezły przychód w skali roku.

Użycie porzuconych domen do ataków

Niestety, nie wszyscy domeny kupują, żeby na nich zarabiać. Założyciel naszego serwisu, Michał Pleban, zwraca uwagę, że te same narzędzia, które pozwalają pozycjonerom albo inwestorom znajdować wygasłe domeny po serwisach internetowych, umożliwiają również znalezienie domen, które mogą posłużyć do ataków na internautów. Co gorsza, nietrudno sprawdzić (np. w serwisie Archive.org) co znajdowało się wcześniej pod domeną. To pozwala atakującym na dopasowanie scenariusza ataku tak, aby był jak najbardziej wiarygodny.

Z inicjatywy Michała, zrobiliśmy ostatnio wewnętrzne badanie:

Przeanalizowaliśmy logi z wejść na porzucone domeny utrzymywane na infrastrukturze Aftermarket.pl. Wiele z nich może być potencjalnie wykorzystywane do różnego rodzaju ataków, na przykład dlatego że służyły kiedyś do hostowania plików graficznych albo skryptów, do których odwoływano się — i wciąż odwołuje się — z innych domen. Przejęcie takiej domeny i umieszczenie pod tym samym adresem pliku JavaScript zawierającego złośliwą zawartość może spowodować zarażenie wielu komputerów w krótkim czasie.”

Podstawienie złośliwego JavaScriptu

Analiza logów domen zaparkowanych na naszych serwerach DNS w okresie 24 godzin wskazała ponad 750 przechwyconych domen, na których następują odwołania do nieistniejących już plików JavaScript z innych stron. Wybrane wyrywkowo przykłady to m.in.:

  • Forum o tematyce motoryzacyjnej, którego domena wygasła, nadal dostępnego po wpisaniu adresu IP serwera. Forum to w takiej formie wciąż odwiedzane jest przez ponad 3000 osoby w miesiącu. Problem w tym, że w skórce phpBB używanej na forum zaszyte są odwołania do plików JavaScript z poprzedniej domeny.
  • Strona popularnego konkursu fotograficznego, na której umieszczono odwołanie do pliku „footer.js” z innej domeny wygasłej miesiąc temu. Nie wiadomo jaka miała być rola tego skryptu, ale stronę odwiedza ponad 800 osób dziennie (być może skrypt ten to pozostałość po jakimiś wcześniejszym ataku).
  • Przynajmniej cztery nieistniejące już sieci reklamowe, które pozwalały użytkownikom na zarabianie poprzez wyświetlanie reklam na swoich stronach. Wyświetlanie to następowało oczywiście poprzez umieszczenie odwołania do odpowiedniego pliku JavaScript serwowanego przez sieć reklamową. Mimo że domeny niektórych z tych sieci wygasły nawet w 2013 roku, odwołania do ich skryptów nadal nie zostały usunięte z dziesiątek stron internetowych.
  • Popularny katalog stron o tematyce fitness, który wymagał od umieszczonych w nim serwisów dodania linka zwrotnego, oczywiście znów za pomocą pliku JavaScript. Jest on wciąż pobierany 250 razy dziennie z co najmniej 30 różnych stron.

Dość częsta jest też sytuacja, gdy firma posiadała domenę .pl oraz .com.pl i obie służyły do wyświetlania tej samej strony, ale w kodzie strony zaszyte były odnośniki do plików JavaScript zawierające nazwę jednej z domen (lub, o zgrozo, część plików była hostowana z jednej domeny a część z drugiej – zazwyczaj widzimy takie kwiatki jeśli strona zbudowana została na WordPressie). Gdy jedna z tych domen wygaśnie, strona nadal działa pod drugą domeną, tylko po prostu niektóre skrypty są ściągane z nieistniejącego już adresu.

Poza tym analiza wykazała dużą liczbę pluginów, widgetów i innych skryptów beztrosko wklejonych na strony internetowe, odwołania do których nie zostały usunięte pomimo że domena z której były serwowane już dawno wygasła. Co jest szczególnie niepokojące, część stron odwołujących się do plików JavaScript zawartych na tych adresach jest blokowanych przez program antywirusowy, co może oznaczać że ktoś już próbował podstawiać skrypty z niebezpieczną zawartością na przechwyconych domenach.

Odwołania do plików .exe

Złośliwe pliki JS to nie jedyne zagrożenie. Zawartość logów wygasłych domen pokazała np. odwołania do pliku EXE mającego zawierać paczkę oprogramowania dla webmasterów, albo do pliku RAR z wtyczką do programu 3D Studio. Mechanizm potencjalnej dystrybucji złośliwego oprogramowania za pomocą takich odnośników jest banalny.

Nie można też zapominać o tym, że z wygasłych domen są ściągane także obrazki (w ciągu 24 godzin w logach znalazło się 1900 takich domen) oraz pliki CSS (810 domen przez 24 godziny), przy pomocy których też można wywoływać JavaScript. Choć ataki za pomocą takich plików są trudniejsze, są również możliwe, nie mówiąc już o tym, że podmiana tych plików umożliwia też, przynajmniej w ograniczonym zakresie, zmianę wyglądu strony, na której umieszczono odwołania do nich (tzw. atak deface).

Wszystkie te odwołania do potencjalnie niebezpiecznych plików zostały zebrane jednego dnia.

Sterowanie firmowymi komputerami przez plik proxy?

W trakcie omawiania wyników naszego wewnątrzfirmowego badania, Michał przypomniał sobie także inny ciekawy przypadek. Choć nie dotyczył on okresu badania, warto go przywołać:

„Pewnego razu w logach pojawiły się, na przykład, odwołania do skryptu proxy.pac w domenie należącej wcześniej do dużej firmy telekomunikacyjnej. Skrypt ten był pobierany przez kilkadziesiąt komputerów dziennie; podstawienie w nim złośliwej zawartości umożliwiłoby przejęcie kontroli nad ich połączeniami internetowymi, czego skutki mogłyby być dla firmy opłakane. Pozwolenie na wygaśnięcie tak kluczowej dla bezpieczeństwa firmy domeny to bardzo poważne zaniedbanie.”

Kradzież tożsamości i przechwytywanie poczty przez przechwytywanie domeny

Przechwycona domena może być także zagrożeniem dla poufności lub wręcz posłużyć do kradzieży tożsamości. Jeśli na adres e-mail w przechwyconej domenie ktoś wcześniej założył konto na Google, Facebooku lub w innym serwisie, to nowy właściciel domeny może być w stanie je przejąć wraz z poufną zawartością.

Samo sprawdzenie czy w przechwyconej domenie używano e-maila jest bardzo proste — wystarczy podpiąć ją do dowolnego hostingu i skorzystać z funkcji „e-mail catch-all”, a następnie przez jakiś czas zbierać przychodzące (np. z Facebooka) wiadomości. Ewentualnie rzucić okiem na dowolne narzędzie do analizy archiwalnych rekordów MX i sprawdzić czy były one obecne.

Jeśli wygasła domena była domeną firmową, to nowy właściciel będzie w stanie wykorzystać ją do podszywania się pod pracowników firmy. Tu warto zauważyć, że do tego samego celu wykorzystywane są nie tylko oryginalne domeny przechwytywane, ale również tzw. literówki, czyli domeny różniące się od oryginalnej jedną czy dwoma literami. Część osób wpisując adres internetowy myli się; takie pomyłki są zazwyczaj wykorzystywane przez osoby rejestrujące domeny zawierające błędy i stawiające na nich reklamy.

Sami doskonale o tym wiemy, gdyż sporo osób zamiast Niebezpiecznik.pl wpisuje naszą domenę w pasku adresowym z użyciem litery “s” zamiast “z”. I na takiej literówkowej domenie, niebespiecznik.pl, obserwujemy codziennie kilkadziesiąt wejść, a nierzadko zdarza nam się odebrać na niej e-maila, kierowanego do któregoś z naszych pracowników — dop. redakcji.

Mam domenę — co robić, jak żyć?

Oto kilka porad dla każdego, kto posiada domenę internetową, prywatnie lub firmowo:

  1. Zadbaj o to, aby Twoja domena nie wygasła, gdyż jeśli tak się stanie i zostanie przechwycona przez kogoś innego, szanse na jej odzyskanie mogą być niewielkie. W niewielkich firmach często za obsługę domeny odpowiada „jakiś informatyk” (nierzadko nawet nie zatrudniony w firmie ale po prostu czyjś znajomy) i to on posiada login i hasło do panelu służącego do zarządzania domeną. Gdy pójdzie na urlop albo zostanie zwolniony, właściciele firmy nie mają wiedzy że domena właśnie wygasa, ani też nie wiedzą co zrobić żeby ją odnowić.

    Dlatego ustal datę wygaśnięcia swojej domeny (np. za pomocą polecenia “whois domena.pl“) i wpisz w kalendarz odpowiednie przypomnienie. Niektórzy rejestratorzy przypominają e-mailowo o obowiązku przedłużenia domeny, dlatego zweryfikuj, czy rejestratorowi domeny podałeś poprawny adres e-mail. Od zakupu mogło minąć wiele lat i e-mail mógł się zmienić, albo wskazuje na niepracującą już w Twojej firmie osobę.

  2. W zaawansowanych serwisach do rejestracji domen, takich jak AfterMarket.pl, możliwe jest nadanie dostępu do jednego konta z domenami wielu różnym osobom. I warto z tego skorzystać, bo dzięki temu do panelu zarządzania domeną oprócz informatyka mogą mieć dostęp także właściciele firmy i inne osoby, mogące zareagować gdyby domena zaczęła wygasać podczas dłuższej nieobecności “informatyka”. Co dwie głowy, to nie jedna. Wszystkie te osoby będą także dostawać wtedy przypomnienia e-mail o zbliżającym się terminie, w którym należy przedłużyć domenę.
  3. Jeśli z domeną wiążesz swoją przyszłość, to dobrym pomysłem będzie włączenie automatycznego odnawiania domeny, gdy zbliża się jej data wygaśnięcia. Wymagane może jednak być wykonanie przedpłaty na konto rejestratora, z którego opłata będzie regularnie ściągana. Możesz też opłacić domeny z góry na kilka lat, co przy okazji zabezpieczy Cię przed ewentualnym wzrostem abonamentu w przyszłości.
  4. Jeśli firma zarządza większą liczbą domen, łatwo jest zapomnieć o odnowieniu którejś z nich, bo wygasają one w różnych terminach. Niektóre serwisy pozwalają na „wyrównanie” dat wygasania domen; opcja taka jest także dostępna w AfterMarket.pl. Możesz odnowić domenę nie tylko na rok, ale także na wskazaną liczbę miesięcy, i dzięki temu wyrównać wszystkim domenom termin wygasania na ten sam dzień.
  5. Jeśli twoja strona internetowa jest popularna (a także jeśli jeszcze nie jest, ale masz ambicje aby była), zadbaj o zarejestrowanie literówek swojej domeny i przekieruj je na swoją główną stronę. Nawet jeśli nikt nie wykorzysta literówek do niecnych celów, to w przypadku przejęcia takich literówkowych domen tracisz potencjalnych klientów. Tu zwłaszcza warto zadbać o “zabezpieczenie” wariantów z polskimi literami. Wiele osób wciąż nie wie też że możliwe jest rejestrowanie domen z polskimi znakami diakrytycznymi. Taka domena pomoże w wypowiadaniu jej nazwy np. w radio lub przez telefon, bez martwienia się, o to, czy ktoś w pisze usłyszaną nazwę bez lub z polskimi znakami.

    W znalezieniu potencjalnych literówek domeny może pomóc tak zwany „generator literówek”, który sprawdza najpopularniejsze błędy popełniane przez użytkowników (takie jak pominięcie litery, zamiana liter miejscami itp.), znajdujący się pod tym adresem.

  6. Jeśli masz stronę internetową, na której umieszczane są odwołania do skryptów JavaScript, to hostuj je u siebie. A jeśli nie jest to możliwe, to dla osadzanych z cudzych stron skryptów JavaScript albo styli CSS koniecznie włącz tzw. Subresource Integrity, czyli w tagu script użyj atrybutu integrity, pozwalającego na podanie sumy kontrolnej pliku. Wtedy, jeśli przy wejściu na stronę, użytkownik z CDN-a pobierze JavaScript, który ma inną zawartość (a więc i sumę kontrolą) niż ta, którą wskazałeś, to jego przeglądarka nie wykona takiego pliku. W ten sposób zabezpieczysz swoich klientów przed atakami XSS związanymi z przejęciem zasobów hostowanych poza Twoją domeną.
  7. Zastanów się dziesięć razy zanim pozwolisz swojej domenie wygasnąć. Czasem warto jest „pozbyć się” jakieś domeny i zaoszczędzić kilkadziesiąt złotych, ale nigdy nie rób tego, jeśli na adresy e-mail w uwalnianej domenie masz założone konta w innych serwisach. Przed porzuceniem domeny upewnij się, że zmieniłeś w nich adres e-mail i jeśli możesz, zawsze aktywuj dwuskładnikowe uwierzytelnienie.

 

Załóż konto w Aftermarket.pl

Zapraszamy do rejestracji w AfterMarket.pl, gdzie oprócz codziennej listy wygasających domen do przechwycenia i generatora literówek znajdziesz m.in.:

  • Zaawansowany panel do obsługi domen z możliwością zabezpieczenia dostępu i operacji na domenach za pomocą 2FA oraz nadawania wybranych uprawnień innym użytkownikom np. do przedłużenia domen albo pobierania faktur.
  • Wszechstronne API do rejestracji i zarządzania domenami, zmian serwerów i wpisów DNS oraz innych operacji, niezbędne przy zarządzaniu dużymi portfoliami domen np. dla celów SEO.
  • Możliwość rejestracji nie tylko domen .pl, .eu czy .com, ale także kilkudziesięciu domen innych krajów oraz kilkuset tzw. nowych domen, takich jak .blog czy .shop.
  • Największą w Polsce giełdę domen internetowych, z ponad 100 tysiącami nazw do nabycia na wtórnym rynku.

Niniejszy artykuł jest artykułem sponsorowanym, został stworzony przez firmę AfterMarket, a za jego opublikowanie redakcja Niebezpiecznika otrzymała wynagrodzenie.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

28 komentarzy

Dodaj komentarz
  1. *dwiema literami

  2. …przez Z gupku!

  3. “Pod domeną wyświetlały się reklamy, umieszczone tam przez rejestratora GoDaddy ponieważ właściciele serwisu zapomnieli o odnowieniu domeny. Na szczęście w tym wypadku zorientowali się oni w porę i domena nie zdążyła całkowicie wygasnąć.”

    Powiedzcie proszę, w jaki sposób GoDaddy mogli zamieścić reklamy pod domeną, która była w okresie wygaszania? No chyba, że GoDaddy tak właśnie działa, że wyświetla swoje reklamy czekając aż klient przedłuży. Ja ma 90% domen zarejestrowanych w OVH i jakoś nigdy mi się reklamy nie wyświetlały, a zdarzało się czasami zapomnieć.

    PS.
    Czy jest jakakolwiek możliwość zabezpieczenia się przed tym co jest opisane w pierwszym akapicie, czyli o założeniu kopii sklepu? Chyba nie, ale proszę o odpowiedź, może są jakieś sposoby. Chętnie poznam :)

    • W .com jest “wolna amerykanka” i rejestrator nie tylko może podczas wygasania domeny wyświetlać na niej co chce, ale też może zostawić sobie domenę i/lub ją sprzedać jeśli jej nie przedłużysz.

  4. Chciałem „przechwycić” domenę .com i dostałem taki komunikat: „Przechwytywanie domeny o takim TLD nie jest obsługiwane”.

    Czy to działa tylko dla .pl i .com.pl? W takim razie czemu po prostu nie założyć opcji?

    • Nie da się założyć opcji kiedy domena wygasa.

    • Poza tym opcja jest dostępna tylko dla domen .pl

  5. Heh, dokładnie o tym od razu pomyślałem. Aż dziw, że nikt tego nie wykorzystał do swoich celów.

    “Osobom mającym choćby blade pojęcie o bezpieczeństwie aplikacji internetowych podczas czytania poprzednich akapitów powinna zapalić się czerwona lampka. A co, gdyby pod przejętym adresem hardware-update.com ktoś umieścił stronę rozpowszechniającą złośliwe oprogramowanie, “

  6. “Gdy jedna z tych domen wygaśnie, strona nadal działa pod drugą domeną, tylko po prostu niektóre skrypty są ściągane z <<>. ”

    Cieżko mi zrozumieć to ściąganie “z nikąd”; jak nie ma adresu to nie ma też skąd ściągać.

  7. “Gdy jedna z tych domen wygaśnie, strona nadal działa pod drugą domeną, tylko po prostu niektóre skrypty są ściągane z — nieistniejącego już adresu –.”

    Cieżko mi zrozumieć to ściąganie “z nikąd”; jak nie ma adresu to nie ma też skąd ściągać.

    • Ściąganie “z nikąd” trwa tylko do czasu aż ktoś taką wygasłą domenę znów zarejestruje i np. w określonej ścieżce umieści plik JS ze złośliwą zawartością.

  8. To użytkownik ma dbac o swoje bezpieczeństwo, nie widze sensu kupowac kilku domen z każdym rozszerzeniem i do tego jeszcze z literówkami.

    • Jako Kowalski czy firma Kowalski&Nowak pewnie nie ma sensu, ale jeśli się jest Dużą Firmą Internetową S.A., to wydatek w skali firmy znikomy, a będzie zbierał ruch od klientów, którzy się “przeklawiaturzyli” oraz zabezpieczy przed wrednymi podszywaczami wyłudzającymi dane od klientów co ograniczy ewentualne straty na wizerunku. Opłaci się.

  9. Artykuł bardzo sensowny, ale gdybym chciał zaparkować wszystkie domeny, które kiedykolwiek zarejestrowałem to nie zostałoby mi na suche bułki. ;) Ale na pewno warto prowadzić listę kont powiązanych z adresami e-mail w swoich domenach. Decydując się na porzucenie domeny należy wszystkie takie konta zamknąć.

  10. Co to jest “portfolio domen”? Jak tym zarządzać?

  11. Czy ktoś może mi wytłumaczyć domena to tylko nazwa a pliki są na serwerze więc w jaki sposób ktoś ma dostęp do plików na serwerze skoro domena wygasła.

    • A po co ma mieć dostęp do plików? Wystarczy, że do domeny podepnie swój serwer.

  12. Przeczytałem “W Polsce największym z nich jest należący do nas AfterMarket.pl — nasi klienci przechwytują około 3500 domen miesięcznie” i przestraszyłem się, że to własność Niebezpiecznika.

    Taki biznes jest może i dochodowy ale moim zdaniem śliski i niemoralny.

  13. Jak do tej pory najfajniejszy artykuł sponsorowany.
    Pozdrawiam!
    JD

  14. Podobnie jak z wygasłymi domenami jest w przypadku wygasłych darmowych kont email. W zależności od operatora poczty po określonym czasie nieaktywności konto jest usuwane i w niektórych przypadkach adres email wraca do puli dostępnej do ponownej rejestracji – otwierając drogę do przejęcia kont powiązanych.
    Kilka lat temu było tak na serwisie o2.pl.

  15. “Strona popularnego konkursu fotograficznego, na której umieszczono odwołanie do pliku „footer.js” z innej domeny wygasłej miesiąc temu. Nie wiadomo jaka miała być rola tego skryptu, ale stronę odwiedza ponad 800 osób dziennie (być może skrypt ten to pozostałość po jakimiś wcześniejszym ataku).”

    Zgodnie z treścią przepisu art. 304 § 1 Kodeksu postępowania karnego, każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub policję. Użyte określenie oznacza, iż jest to moralny obowiązek każdego praworządnego człowieka.

  16. A może podacie rozwiązanie zagadki, dlaczego ZUS posługuje się domeną zus.pl, a nie jak wszystkie instytucje państwowe zus.gov.pl ?Ciekawe, ile osób/instytucji dało się nabrać.

  17. Kiedyś np przejeto kppis.pl :D jest tam od lat Klub pieczywa i sera :D

  18. Przechwyciłem domenę od H88 SA więc tak. Dużo nawet samych giełd niezbyt o to dba.
    50zł i mam 4 literową domenę pl :)
    Polecam przeszukać za pomocą odwrotnego DNS (jakie domeny są na danym IP)
    Można się zdziwić jak idzie ugrać coś na polskim podwórku :D
    Pozdrawiam

  19. Radzę uważać na parametry domen, które serwuje nam AfterMarket.pl ponieważ mogą odbiegać od stanu faktycznego. Do sprawdzania parametrów lepiej używać zewnętrznych narzędzi.

  20. Miałem niedawno ciekawy przypadek ataku przy pomocy nieopłaconej domeny. Ktoś zarejestrował sporo domen (niektóre całkiem dobre), przez jakiś czas wykorzystywał je do spamowania, a potem specjalnie pozwolił im wygasnąć. Przed wygaśnięciem, na popularnym w naszym kraju hostingu, pododawał sporo subdomen. W panelu dodał je w tak, jak dodaje się domeny (funkcja “Dodaj domenę”). Po niedługim czasie wygasłe domeny zaczęły być dostępne do rejestracji i ludzie zaczęli je rejestrować. Na części z tych domen zaczęły powstawać strony internetowe i część z nich były hostowane na popularnym w naszym kraju serwerze. W tym momencie zaczęły działać subdomeny wcześniej pododawane przez pierwszego właściciela (te same DNS’y). Przestępca na subdomenach zaczął stawiać fałszywe stronki, które wykorzystywał do swoich celów. Nie musiał płacić za utrzymanie subdomen, nie figurował w rejestrze jako właściciel domeny.

    • Czyżby NetArt? Miałem u nich kiedyś domeny i subdomeny. Potem przeniosłem się do innego rejestratora nie usuwając konta. Jakież było moje zdziwienie po paru latach, gdy konto nie dawało się usunąć z powodu nadal podczepionych domen i subdomen (a przecież domeny zostały wytransferowane). Na szczęście nie wykupił ich ktoś inny, bo bym nawet nie mógł u nich konta usunąć (aby je odpiąć trzeba było się zweryfikować). Ciekawe, czy już naprawili te bzdury w swoim panelu/systemie.

  21. Warto dodać, że przechwytując domenę z karą za włam hakerski będzie ona dziedziczona w Google Search Console u kolejnych właścicieli tej domeny. Stawiając zaplecze SEO na tej domenie warto zainstalować GSC i dać znać Google, że problem z włamem został rozwiązany. W przeciągu kilku / kilkunastu dni kara zostanie ściągnięta i mamy spokojną głowę przy pozycjonowaniu strony.

Odpowiadasz na komentarz Maciej

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: