Началось всё с того, что в начале апреля при попытке снять квартиру наткнулся на фишингового мошенника и решил его заблокировать.

В итоге всё это вылилось в более чем полугодовое наблюдение, и блокировку более 200 доменов.


О мошеннике

Схема классическая: размещается объявление о посуточной аренде на разных площадках, во время общения "клиент" переводится в WhatsApp, где по итогу общения присылается фишинговая ссылка "на оплату" (на самом деле для кражи реквизитов банковской карты и смены телефона в онлайн-банке).

Эта статья не про схему мошенничества, поэтому более подробно со схемой этого мошенника можно ознакомится по ссылкам: раз и два.

Также дам ссылки на примеры фишинговых страниц:

Фишинг под ostrovok.ru:
https://web.archive.org/web/20230402172706/https://ostrovok.id2654625.ru/apartments/1084425

Фишинг под tvil.ru:
https://web.archive.org/web/20230808204602/https://tvil.i192578.ru/apartments/1294537
https://web.archive.org/web/20230808212152/https://tvil.i192578.ru/reserve/1294537

Фишинг под housinganywhere.com:
https://web.archive.org/web/20230508123119/https://housinganywhere.iid33839.site/apartments/3175705
https://web.archive.org/web/20230508123424/https://housinganywhere.iid33839.site/reserve/3175705

Основная проблема данного типа фишинга - это сложность получения адреса фишинговой страницы на следующих доменах, т.к. адреса делаются под "клиента". Поэтому здесь для блокировки упор делается на то, чтобы доказать, что это тот же сайт, только на новом домене, что достаточно просто сделать используя архивные фишинговые страницы на archive.org, но не у всех регистраторов и хостеров есть желание видеть очевидное даже с подробными инструкциями.

Для желающих попрактиковаться в верификации - сайт сейчас находится на домене tvil.192784.ru (сервер по адресу 178.159.42.121).

О блокировке

Далее перейдем непосредственно к блокировке, которая складывается из блокировки домена и блокировки хостинга.

Блокировка домена

Сразу стоит сказать, что быстро заблокировать домен практически не реально. Также блокировка доменов в национальных доменных зонах в России и в международных доменных зонах сильно отличается.

Национальные доменные зоны .ru, .рф и .su.

Для этих зон у регистратора есть только одно основание заблокировать домен "самостоятельно и незамедлительно" - в случае выявления недостоверности регистрационных данных. Как правило регистраторы не хотят ничего проверять и брать на себя какую-либо ответственность и отправляют в "Доменный патруль" (https://tldpatrol.ru/). В моём случае был только один регистратор, который после получения уведомления от "компетентной организации" по первому домену мошенника - по следующим 6-ти доменам сам проверил регистрационные данные и заблокировал домены.

Однако здесь стоит отметить, что для этих зон если регистратору пришло уведомление через ИС "Доменный патруль", то он обязан заблокировать домен. Эта обязанность прописана в правилах. Для международных зон такого нет, но об этом ниже.

Фишингом в "Доменном патруле" реально занимаются только 3 организации: F.A.C.C.T.(бывшая Group-IB), BI.ZONE и НКЦКИ. Пробовал писать в другие организации, у которых "фишинг" есть в описании, но ответов не получил, также как и действий.

Через F.A.C.C.T. удалось заблокировать только несколько доменов - в какой-то момент ответы перестали приходить (кроме отбивки с присвоением номера заявке), также перестали предприниматься действия.

Последнее письмо от BI.ZONE на скриншоте:

Письмо от BI.ZONE
Письмо от BI.ZONE

НКЦКИ осталась единственной организацией, через которую до сих пор получается блокировать домены мошенника.

После того, как уведомление отправлено регистратору через ИС "Доменный патруль" нужно чтобы до регистратора это уведомление дошло и он его обработал.

На практике бывают сбои с прохождением уведомлений. Также нет четких сроков обработки уведомлений регистраторами. Кто-то из регистраторов обрабатывает такие уведомления в приоритетном порядке, кто-то в общем и в итоге время блокировки домена растягивается. В моей практике дважды были задержки до недели - в первый раз из за перегрузки отдела регистратора, занимающегося жалобами; во второй раз из за технических проблем с приёмом уведомлений на стороне регистратора.

Международные доменные зоны

Здесь нет четких правил блокировки доменов и каждый регистратор сам принимает решение о блокировке. На практике это выливается в затягивание сроков, а иногда и вовсе в невозможность блокировки доменов.

В случае, когда регистратор в России - можно попробовать написать в организацию "Доменного патруля", но не всегда и "компетентная организация" может помочь заблокировать домен.

Пара примеров из практики

Мошенник зарегистрировал пару доменов booking-partners.ru и booking-partners.online. На домене housinganywhere.booking-partners.online был размещён фишинговый сайт под housinganywhere.com. Все доказательства по сайту были направлены в "компетентную организацию", которая уже связывалась с регистратором. Регистратор заблокировал домен в зоне .ru (т.к. обязан это сделать по правилам), а по домену в зоне .online запустил процедуру верификации регистрационных данных (и это при рабочем сайте с доказательством фишинга через "компетентную организацию") и заблокировал домен только спустя почти 3 недели. Всё это время фишинговый сайт спокойно работал.

Другой пример более свежий. Мошенник у одного из регистраторов регистрирует домены также парой - в зоне .ru и в зоне .store. На домене в зоне .ru он размещает фишинговые сайты под tvil.ru, а на доменах в зоне .store изредка были сайты с фишингом под housinganywhere.com, но чаще мошенник их сразу не использовал.

Одно время регистратор одновременно с доменом в зоне .ru блокировал и домен в зоне .store, но с начала октября почему-то ситуация изменилась и регистратор начал требовать для рассмотрения вопроса о блокировке фишинговые страницы на этих доменах (на момент написания статьи таких доменов набралось уже 27). В итоге мошенник начал использовать домены в зоне .store для другого типа фишинга.

Например, возьмём домены i192856.ru и i192856.store.

i192856.ru использовался для фишинга под tvil.ru (сайт tvil.i192856.ru) и был заблокирован через "Доменный патруль". Проверить, то, что на этом домене был фишинг можно на сайте "Доменного патруля" (https://tldpatrol.ru/domain-security/) введя "i192856.ru".

i192856.store также используется для фишинга по данным Касперского (можно проверить на virustotal.com)

Эти домены регистрировались парой. Все данные есть у регистратора, но регистратор ничего не хочет предпринимать в отношении домена в зоне .store и настойчиво продолжает требовать фишинговую ссылку. Было предложение заблокировать домены через верификацию регистрационных данных - ответ на скриншоте.

Ответ от регистратора
Ответ от регистратора

Для меня возникает вопрос - что движет регистратором, что он не хочет видеть очевидное и держится за такого "клиента"?

В итоге на следующий день после выхода статьи Beget заблокировал все старые не заблокированные домены в зоне .store. Не знаю что послужило причиной - моё очередное письмо со списком доменов (писал его ещё до публикации статьи) или статья.

Блокировка хостинга

Здесь всё примерно также как с международными доменами. Единственная большая проблема - это то, что практически все хостеры пересылают жалобу в исходном виде мошеннику. Последствия могут быть в виде угроз (например, как на скриншоте ниже в виде фишингового письма), а также в изменении сайта, чтобы затруднить верификацию.

Угроза от мошенника
Угроза от мошенника

Также здесь есть 2 варианта:

  • когда IP-адрес сервера известен - выясняем на https://2ip.ru/whois/ кто хостер и отправляем письмо ему

  • когда сервер скрыт за CloudFlare - нужно писать через форму https://abuse.cloudflare.com/

В моём случае мошенник сначала использовал Российский хостинг без CloudFlare - здесь больших проблем с блокировкой не было, но был один случай, когда поддержка одного из хостеров на присланную фишинговую ссылку прислала вот такой ответ (на скиншоте ниже) - пришлось подключать "компетентную организацию".

Ответ хостера
Ответ хостера

Потом мошенник спрятался за CloudFlare. Жалобы, посланные через форму должны пересылаться хостеру. Я, когда сам выяснял реального хостера, дважды уточнял, получал ли хостер жалобы, отправленные мной через CloudFlare и дважды получал отрицательный ответ. С чем связано такое отношение CloudFlare не понятно, т.к. достучаться до реальных людей там практически невозможно.

В итоге на текущий момент мошенник для хостинга использует zomro.com, где служба обработки жалоб прислала первый ответ спустя почти 2 недели и также требует действующую фишинговую ссылку на текущем домене для рассмотрения вопроса о блокировке сервера. Никакие другие доказательства рассматривать категорически не хотят. За это время на сервере побывал уже 21 домен (все были заблокированы).

Ниже скриншоты ответов от zomro.com.

Ответ zomro.com
Ответ zomro.com
Ответ zomro.com
Ответ zomro.com

Не знаю есть ли способы повлиять на таких хостеров и регистраторов. Возможно, у кого-то есть опыт в данной области и он сможет им поделится?

Дополнения

Пока статью доделывал и согласовывал произошли 2 события:

  • Мошенник сходил к другому хостеру и вернулся опять в zomro.com на другой сервер (почему бросил старый сервер не понятно). Написал им по новому серверу - посмотрим на реакцию.

  • Beget заблокировал 3 домена в зоне .store из последних. Повторно написал им про другие домены - на следующий день (уже после публикации статьи) все старые домены были заблокированы.

Ниже в спойлере список всех известных мне доменов мошенника. Возможно кто-то с ним также сталкивался и сможет рассказать что сейчас за сайты размещены на доменах в зоне .store

Список всех известных мне доменов мошенника
В зоне .ru
В зоне .store

id17952.store
id14862.store
id14786.store
id171892.store
id146942.store
id148372.store
id147682.store
id174582.store
id175842.store
id175462.store
id175392.store
id482736.store
id172956.store
id196472.store
id195274.store
id197253.store
id195732.store
id195362.store
id159372.store
id154892.store
id157204.store
id179326.store
178299.store
175299.store
158299.store
id157926.store
id178264.store
174299.store
157299.store
id172984.store
165299.store
168299.store
148299.store
176299.store
184299.store
172092.store
i172952.store
i172958.store
i178254.store
i172654.store
i178512.store
i179264.store
i179246.store
i179462.store
i179542.store
i179582.store
i179584.store
i158762.store
i152768.store
i158264.store
i192536.store
i192578.store
i175962.store
i192538.store
i192864.store
i192684.store
i198742.store
i192748.store
i192648.store
i192768.store
i192658.store
i192584.store
i192738.store
i192468.store
i192568.store
i192784.store
i192746.store
i192754.store
i192586.store
i192548.store
i198736.store
192748.store
i198746.store
i192786.store
i192785.store
i192576.store
i198752.store
i194862.store
i194826.store
i192874.store
i194752.store
i192758.store
i192638.store
192684.store
i192764.store
i194728.store
i194768.store
i198762.store
i194872.store
i194852.store
i198472.store
192864.store
194872.store
i192856.store
i194876.store
i192854.store
i192486.store
i194762.store
i192876.store
194862.store
i194658.store
i192574.store
i192756.store
i192852.store
i198756.store
179462.store
192784.store - не заблокирован

В других зонах

id390133.site
iid33839.site
iid397920.site
booking-partner.site - не заблокирован, но брошен
booking-partners.online
booking-partner.su
booking-hotel.su
booking-hotels.su
booking-page.su
booking-reserv.su
tvil.su
194782.su

Комментарии (16)


  1. Tzimie
    24.11.2023 18:43
    -3

    Надо писать что на сайте распространяются материалы против (self censored)


  1. aik
    24.11.2023 18:43

    Занятие хоть и полезное, но, по-моему, напоминает борьбу с ветряными мельницами. Пока блокируете один домен, мошенник ещё десяток запустит. Особенно учитывая то, что до блокировки несколько месяцев пройти может.


    1. ifap
      24.11.2023 18:43
      +1

      И да, и нет - пока он их запускает, фишинговые рассылки с адресом на заблокированном домене улетают в трубу - лохи идут по ссылкам и получают 404 вместо фишинговой ссылки.


      1. Artur_M Автор
        24.11.2023 18:43
        +1

        Немного не так. Здесь мошенник фактически в онлайне общается с "клиентом", т.к. всё, что введёт "клиент" нужно моментально обработать. Это не фишинговая рассылка. А от регистрации множества доменов мошенника уже отучили блокировкой иногда по 3 домена за один раз. Сейчас он обычно регистрирует новый домен после блокировки предыдущего.


  1. ifap
    24.11.2023 18:43

    Возможно, Вы сделали слишком глобальный вывод на основании жалоб в один Бегет? У меня подобный опыт меньше, но в большинстве случаев регистратор, получив живую ссылку на мошеннический сайт, сразу запускал процедуру верификации с предсказуемым результатом для делегирования домена, а хостер к тому моменту уже давно сносил сайт.


    1. Artur_M Автор
      24.11.2023 18:43

      У меня был не только Бегет. Остальных не указал, т.к. в итоге получалось найти общий язык, хоть и не с первого раза. Поэтому и в заголовке про "Некоторых". И для данного типа фишинга получение живой ссылки - дело не простое.


  1. ALito
    24.11.2023 18:43
    +1

    Я так понимаю, что для жертвы создают персонализированный сайт. После окончания общения с жертвой сайт убивают.

    Каким образом проверяющий может убедиться, что это фишинговый сайт, если время жизни сайта невелико? Опять же, мошенник может фильтровать входящие запросы и пропускать только запросы от жертвы.


    1. Artur_M Автор
      24.11.2023 18:43

      Неправильно понимаете - для жертвы создают ссылку на персональную фишинговую страницу на сайте. Потом эта ссылка удаляется. Для проверки сайта достаточно архивной фишинговой ссылки на archive.org на старом домене - достаточно посмотреть как формируется фишинговая страница (что откуда загружается). Проверяющим всё это отправляется с инструкцией как проверить, но некоторые проверяющие упираются в живую фишинговую ссылку...


  1. ALito
    24.11.2023 18:43

    Согласен с замечанием, не сайт а страничка.

    Насчёт архива - эта страничка может в него и не попасть, если сервер ее будет отдавать только жертве. Не?


    1. Maxim_Q
      24.11.2023 18:43

      Что-то похожее я уже видел, там страницу отдавали только 2 раза, на 3й раз уже выдавали ошибку 404 и страницы небыло. Если жулики продвинутые то так они и будут делать.


      1. Artur_M Автор
        24.11.2023 18:43

        У этого мошенника страница живет пока он её не уберёт.


    1. Artur_M Автор
      24.11.2023 18:43

      Фишинговую страницу на каждом домене добыть не реально - это понятно. Просто так в архив она не попадёт - слишком короткое время жизни. Поэтому нужно доказать, что на новом домене тот же сайт, с которого была заархивирована страница, когда он был на старом домене.


  1. ogost
    24.11.2023 18:43

    По хорошему нужно обращаться в полицию по таким вопросам, не?


    1. Maxim_Q
      24.11.2023 18:43

      Там нет специалистов которые смогут решить проблему, заявления могут даже не принят т.к. это "висяк" 100%, скажут что вас не обманули и вот идите отсюда, мол у вас все хорошо...


      1. Artur_M Автор
        24.11.2023 18:43
        +1

        Есть отдельный отдел по компьютерным преступлениям, но здесь есть нюансы: загрузка и не факт, что мошенник в России.


        1. Deosis
          24.11.2023 18:43

          Сообщение с угрозой минирования можно сразу в ФСБ пересылать.