Началось всё с того, что в начале апреля при попытке снять квартиру наткнулся на фишингового мошенника и решил его заблокировать.
В итоге всё это вылилось в более чем полугодовое наблюдение, и блокировку более 200 доменов.
О мошеннике
Схема классическая: размещается объявление о посуточной аренде на разных площадках, во время общения "клиент" переводится в WhatsApp, где по итогу общения присылается фишинговая ссылка "на оплату" (на самом деле для кражи реквизитов банковской карты и смены телефона в онлайн-банке).
Эта статья не про схему мошенничества, поэтому более подробно со схемой этого мошенника можно ознакомится по ссылкам: раз и два.
Также дам ссылки на примеры фишинговых страниц:
Фишинг под ostrovok.ru:
https://web.archive.org/web/20230402172706/https://ostrovok.id2654625.ru/apartments/1084425
Фишинг под tvil.ru:
https://web.archive.org/web/20230808204602/https://tvil.i192578.ru/apartments/1294537
https://web.archive.org/web/20230808212152/https://tvil.i192578.ru/reserve/1294537
Фишинг под housinganywhere.com:
https://web.archive.org/web/20230508123119/https://housinganywhere.iid33839.site/apartments/3175705
https://web.archive.org/web/20230508123424/https://housinganywhere.iid33839.site/reserve/3175705
Основная проблема данного типа фишинга - это сложность получения адреса фишинговой страницы на следующих доменах, т.к. адреса делаются под "клиента". Поэтому здесь для блокировки упор делается на то, чтобы доказать, что это тот же сайт, только на новом домене, что достаточно просто сделать используя архивные фишинговые страницы на archive.org, но не у всех регистраторов и хостеров есть желание видеть очевидное даже с подробными инструкциями.
Для желающих попрактиковаться в верификации - рабочий сервер мошенника сейчас находится по адресу 178.159.42.121. Рабочего домена пока нет (последний был заблокирован сегодня). Как появится - добавлю в статью.
О блокировке
Далее перейдем непосредственно к блокировке, которая складывается из блокировки домена и блокировки хостинга.
Блокировка домена
Сразу стоит сказать, что быстро заблокировать домен практически не реально. Также блокировка доменов в национальных доменных зонах в России и в международных доменных зонах сильно отличается.
Национальные доменные зоны .ru, .рф и .su.
Для этих зон у регистратора есть только одно основание заблокировать домен "самостоятельно и незамедлительно" - в случае выявления недостоверности регистрационных данных. Как правило регистраторы не хотят ничего проверять и брать на себя какую-либо ответственность и отправляют в "Доменный патруль" (https://доменныйпатруль.рф/). В моём случае был только один регистратор, который после получения уведомления от "компетентной организации" по первому домену мошенника - по следующим 6-ти доменам сам проверил регистрационные данные и заблокировал домены.
Однако здесь стоит отметить, что для этих зон если регистратору пришло уведомление через ИС "Доменный патруль", то он обязан заблокировать домен. Эта обязанность прописана в правилах. Для международных зон такого нет, но об этом ниже.
Фишингом в "Доменном патруле" реально занимаются только 3 организации: F.A.C.C.T.(бывшая Group-IB), BI.ZONE и НКЦКИ. Пробовал писать в другие организации, у которых "фишинг" есть в описании, но ответов не получил, также как и действий.
Через F.A.C.C.T. удалось заблокировать только несколько доменов - в какой-то момент ответы перестали приходить (кроме отбивки с присвоением номера заявке), также перестали предприниматься действия.
Последнее письмо от BI.ZONE на скриншоте:
НКЦКИ осталась единственной организацией, через которую до сих пор получается блокировать домены мошенника.
После того, как уведомление отправлено регистратору через ИС "Доменный патруль" нужно чтобы до регистратора это уведомление дошло и он его обработал.
На практике бывают сбои с прохождением уведомлений. Также нет четких сроков обработки уведомлений регистраторами. Кто-то из регистраторов обрабатывает такие уведомления в приоритетном порядке, кто-то в общем и в итоге время блокировки домена растягивается. В моей практике дважды были задержки до недели - в первый раз из за перегрузки отдела регистратора, занимающегося жалобами; во второй раз из за технических проблем с приёмом уведомлений на стороне регистратора.
Международные доменные зоны
Здесь нет четких правил блокировки доменов и каждый регистратор сам принимает решение о блокировке. На практике это выливается в затягивание сроков, а иногда и вовсе в невозможность блокировки доменов.
В случае, когда регистратор в России - можно попробовать написать в организацию "Доменного патруля", но не всегда и "компетентная организация" может помочь заблокировать домен.
Пара примеров из практики
Мошенник зарегистрировал пару доменов booking-partners.ru и booking-partners.online. На домене housinganywhere.booking-partners.online был размещён фишинговый сайт под housinganywhere.com. Все доказательства по сайту были направлены в "компетентную организацию", которая уже связывалась с регистратором. Регистратор заблокировал домен в зоне .ru (т.к. обязан это сделать по правилам), а по домену в зоне .online запустил процедуру верификации регистрационных данных (и это при рабочем сайте с доказательством фишинга через "компетентную организацию") и заблокировал домен только спустя почти 3 недели. Всё это время фишинговый сайт спокойно работал.
Другой пример более свежий. Мошенник у одного из регистраторов регистрирует домены также парой - в зоне .ru и в зоне .store. На домене в зоне .ru он размещает фишинговые сайты под tvil.ru, а на доменах в зоне .store изредка были сайты с фишингом под housinganywhere.com, но чаще мошенник их сразу не использовал.
Одно время регистратор одновременно с доменом в зоне .ru блокировал и домен в зоне .store, но с начала октября почему-то ситуация изменилась и регистратор начал требовать для рассмотрения вопроса о блокировке фишинговые страницы на этих доменах (на момент написания статьи таких доменов набралось уже 27). В итоге мошенник начал использовать домены в зоне .store для другого типа фишинга.
Например, возьмём домены i192856.ru и i192856.store.
i192856.ru использовался для фишинга под tvil.ru (сайт tvil.i192856.ru) и был заблокирован через "Доменный патруль". Проверить, то, что на этом домене был фишинг можно на сайте "Доменного патруля" (https://доменныйпатруль.рф/domain-security/) введя "i192856.ru".
i192856.store также используется для фишинга по данным Касперского (можно проверить на virustotal.com)
Эти домены регистрировались парой. Все данные есть у регистратора, но регистратор ничего не хочет предпринимать в отношении домена в зоне .store и настойчиво продолжает требовать фишинговую ссылку. Было предложение заблокировать домены через верификацию регистрационных данных - ответ на скриншоте.
Для меня возникает вопрос - что движет регистратором, что он не хочет видеть очевидное и держится за такого "клиента"?
Блокировка хостинга
Здесь всё примерно также как с международными доменами. Единственная большая проблема - это то, что практически все хостеры пересылают жалобу в исходном виде мошеннику. Последствия могут быть в виде угроз (например, как на скриншоте ниже в виде фишингового письма), а также в изменении сайта, чтобы затруднить верификацию.
Также здесь есть 2 варианта:
когда IP-адрес сервера известен - выясняем на https://2ip.ru/whois/ кто хостер и отправляем письмо ему
когда сервер скрыт за CloudFlare - нужно писать через форму https://abuse.cloudflare.com/
В моём случае мошенник сначала использовал Российский хостинг без CloudFlare - здесь больших проблем с блокировкой не было, но был один случай, когда поддержка одного из хостеров на присланную фишинговую ссылку прислала вот такой ответ (на скиншоте ниже) - пришлось подключать "компетентную организацию".
Потом мошенник спрятался за CloudFlare. Жалобы, посланные через форму должны пересылаться хостеру. Я, когда сам выяснял реального хостера, дважды уточнял, получал ли хостер жалобы, отправленные мной через CloudFlare и дважды получал отрицательный ответ. С чем связано такое отношение CloudFlare не понятно, т.к. достучаться до реальных людей там практически невозможно.
В итоге на текущий момент мошенник для хостинга использует zomro.com, где служба обработки жалоб прислала первый ответ спустя почти 2 недели и также требует действующую фишинговую ссылку на текущем домене для рассмотрения вопроса о блокировке сервера. Никакие другие доказательства рассматривать категорически не хотят. За это время на сервере побывал уже 21 домен (все были заблокированы).
Ниже скриншоты ответов от zomro.com.
Не знаю есть ли способы повлиять на таких хостеров и регистраторов. Возможно, у кого-то есть опыт в данной области и он сможет им поделится?
Дополнение
Пока статью доделывал и согласовывал произошли 2 события:
Мошенник сходил к другому хостеру и вернулся опять в zomro.com на другой сервер (почему бросил старый сервер не понятно). Написал им по новому серверу - посмотрим на реакцию.
Beget заблокировал 3 домена в зоне .store из последних. Повторно написал им про другие домены - также посмотрим что ответят.
Ниже в спойлере список всех известных мне доменов мошенника. Возможно кто-то с ним также сталкивался и сможет рассказать что сейчас за сайты размещены на доменах в зоне .store
Список всех известных мне доменов мошенника
В зоне .ru
id2654625.ru
id14388.ru
id14832.ru
id14728.ru
id14358.ru
id14762.ru
id14724.ru
id14748.ru
id14742.ru
id17432.ru
id14826.ru
id75978556.ru
id14782.ru
id17952.ru
id14862.ru
id14786.ru
id286903.ru
iid397920.ru
id171892.ru
id14328.ru
id171899.ru
id17483.ru
id17582.ru
id14988.ru
id17843.ru
id14382.ru
id146942.ru
id148372.ru
id147682.ru
id174582.ru
id175842.ru
id175462.ru
id3989011.ru
id489276.ru
id175392.ru
id482736.ru
id172956.ru
id196472.ru
id195274.ru
id197253.ru
id195732.ru
id195362.ru
id8759030.ru
id159372.ru
id154892.ru
id157204.ru
id179326.ru
178299.ru
175299.ru
158299.ru
id157926.ru
id178264.ru
174299.ru
157299.ru
id172984.ru
165299.ru
168299.ru
148299.ru
176299.ru
184299.ru
172092.ru
i172952.ru
i172958.ru
i178254.ru
i172654.ru
i178512.ru
i179264.ru
i179246.ru
i179462.ru
i179542.ru
i179582.ru
i179584.ru
i158762.ru
i152768.ru
i158264.ru
i192536.ru
i192578.ru
i175962.ru
i192538.ru
i172549.ru
i192564.ru
193452.ru
i192672.ru
i194278.ru
i192864.ru
i192684.ru
i198742.ru
booking-partners.ru
i192748.ru
i192648.ru
i192768.ru
i192658.ru
i192584.ru
i192738.ru
i192468.ru
i192568.ru
i192784.ru
i192746.ru
i192754.ru
i192586.ru
i192548.ru
i198736.ru
192748.ru
i198746.ru
i192786.ru
i194862.ru
i194826.ru
i192874.ru
i194752.ru
i192758.ru
i192638.ru
192684.ru
i192764.ru
i194728.ru
i194768.ru
i198762.ru
i194872.ru
i194852.ru
i198472.ru
192864.ru
194872.ru
i192856.ru
i194876.ru
i192854.ru
i192486.ru
i194762.ru
i192876.ru
194862.ru
i194658.ru
i192574.ru
i192756.ru
i192785.ru
i192852.ru
i192576.ru
i198752.ru
i198756.ru
В зоне .store
id17952.store
id14862.store
id14786.store
id171892.store
id146942.store
id148372.store
id147682.store
id174582.store
id175842.store
id175462.store
id175392.store
id482736.store
id172956.store
id196472.store
id195274.store
id197253.store
id195732.store
id195362.store
id159372.store
id154892.store
id157204.store
id179326.store
178299.store
175299.store
158299.store
id157926.store
id178264.store
174299.store
157299.store
id172984.store
165299.store
168299.store
148299.store
176299.store
184299.store
172092.store
i172952.store
i172958.store
i178254.store
i172654.store
i178512.store
i179264.store
i179246.store
i179462.store
i179542.store
i179582.store
i179584.store
i158762.store
i152768.store
i158264.store
i192536.store
i192578.store
i175962.store
i192538.store
i192864.store
i192684.store
i198742.store
i192748.store
i192648.store
i192768.store
i192658.store
i192584.store
i192738.store
i192468.store
i192568.store
i192784.store
i192746.store
i192754.store
i192586.store
i192548.store
i198736.store
192748.store
i198746.store
i192786.store
i192785.store
i192576.store
i198752.store
i194862.store - не заблокирован
i194826.store - не заблокирован
i192874.store - не заблокирован
i194752.store - не заблокирован
i192758.store - не заблокирован
i192638.store - не заблокирован
192684.store - не заблокирован
i192764.store - не заблокирован
i194728.store - не заблокирован
i194768.store - не заблокирован
i198762.store - не заблокирован
i194872.store - не заблокирован
i194852.store - не заблокирован
i198472.store - не заблокирован
192864.store - не заблокирован
194872.store - не заблокирован
i192856.store - не заблокирован
i194876.store - не заблокирован
i192854.store - не заблокирован
i192486.store - не заблокирован
i194762.store - не заблокирован
i192876.store - не заблокирован
194862.store - не заблокирован
i194658.store - не заблокирован
i192574.store - не заблокирован
i192756.store - не заблокирован
i192852.store - не заблокирован
В других зонах
id390133.site
iid33839.site
iid397920.site
booking-partner.site - не заблокирован, но брошен
booking-partners.online
booking-partner.su
booking-hotel.su
booking-hotels.su
booking-page.su
booking-reserv.su
tvil.su
194782.su
