Теневые домены (domain shadowing) - киберугроза, о которой нужно знать всем. В последние годы владельцы доменов сталкиваются с ней всё чаще.
Domain shadowing - это создание хакерами поддоменов на легальном домене без ведома их владельца и использование этих доменов в незаконных целях: для похищения персональных данных посетителей, распространения вирусов, запуска ботнетов и т.д.
Обычно мошенники сами регистрируют домены для своих целей, но сейчас системы безопасности позволяют их оперативно блокировать, иногда даже ещё на стадии их регистрации. Но если внедриться в "чистый" домен и работать с него, то можно избежать блокировки, и вредоносный сайт на теневом поддомене может продержаться долго.
Обнаружить теневой домен сложно, потому что во-первых он может размещаться на другом сервере, во-вторых, вредоносный трафик сложно зафиксировать, потому что он смешивается с "нормальным". Также хакеры могут автоматизировать процесс удаления поддоменов и создания новых, чтобы избежать обнаружения и блокировки.
- Бесплатные домены .RU
- Купить домен РУС за 179 Р. 590 Р.
- Купить хостинг за 79 Р/мес.
- Купить домен РФ за 179 Р. 590 Р.
Сложность этого метода состоит в том, что злоумышленнику нужно ещё получить доступ к управлению доменом посредством фишинга или взлома.
Первое использование теневых доменов зафиксировано в 2011 году. Эта практика распространилась с 2014 года, когда появился продвинутый хакерский софт, такой как Angler Exploit Kit и RIG Exploit Kit. С того времени организации по информационной безопасности блокируют десятки тысяч теневых доменов в год.
Из недавних случаев можно отметить внедрение теневых доменов в официальный домен журнала Wired в 2022 году. Взломщики таким образом смогли разместить рекламу онлайн-казино прямо на сайте известного журнала о новых технологиях.
Специалисты рекомендуют владельцам доменов следующие способы обезопасить себя от domain shadowing:
- Мониторить записи DNS и трафик, чтобы заметить подозрительные изменения, в том числе появление новых поддоменов. Для этого можно использовать DNSQuerySniffer и DNSViz.
- Следить за репутацией домена, например, через VirusTotal или Google Safe Browsing. Убедитесь, что ваш домен или поддомен на нём не помечен как опасный.
- Использовать сложный, уникальный пароль и регулярно его менять. Упростить эту задачу можно, используя менеджеры паролей.
- Использовать двухфакторную аутентификацию для доступа к управлению доменов (доступно на Webnames.ru).
- Ограничить доступ к управлению доменом. Чем меньше людей им обладает, тем выше безопасность.
- Периодически отслеживать настройки DNS, чтобы выявить подозрительные изменения
- Информировать сотрудников и пользователей о возможной угрозе
- Отслеживать попытки залогиниться. Большое количество неуспешных попыток или вход с новых устройств и локаций - признаки атаки на ваш домен.
- Использовать дополнительные средства защиты DNS.
Таким образом вы обезопасите себя и посетителей вашего сайта. Не пренебрегайте безопасностью: теневые домены на вашем сайте могут нанести большой ущерб репутации вашей компании.