Привет, Хабр!

Сегодня мы расскажем, куда можно пожаловаться, если вы столкнулись с фишингом или другими вредоносными сайтами. Эта информация не поможет полностью удалить такие сайты, но покажет, куда можно обратиться, чтобы их заблокировали.

Немного основ

Домены свое начало берут от американской некоммерческой организации под названием ICANN. Подробно расписывать устройство данной НКО не буду, но сошлюсь на отличную статью с подробным описанием работы системы DNS. Если коротко, то иерархия по части доменных имен выглядит примерно так:

Для того чтобы определить значения слова “phishing” мы идем в официальный справочник ICANN:

"Фишинг" - это процесс использования электронной почты и/или веб-сайтов для неправомерного получения имен пользователей, паролей и финансовой информации.

Данное определение нам необходимо, так как участники причастные к блокировке доменов ссылаются на него.

Кому жаловаться-то?

Хорошо, с термином определились. А жаловаться-то кому?

На этой же странице справки ICANN приводит список ресурсов и организаций, по которым можно обратиться с вопросами блокировки ресурсов (пунктуация и грамматика сохранена):

• Вы можете обратиться в правоохранительные органы вашей юрисдикции

• Вы можете сообщить о попытке фишинга,воспользовавшись страницей сайта рабочей группы по борьбе с фишингом (РГБФ) Сообщить о фишинге

• Вы можете подать жалобу в орган защиты правпотребителей, такой как Международная сеть по защите потребителей и исполнению решений или Федеральная торговая комиссия США

• Вы можете обратиться к поставщику услуг веб-хостинга доменного имени, занимающегося фишингом

• Вы можете обратиться к регистратору доменного имени, занимающегося фишингом

Список отличный, но не исчерпывающий. Попробуем его дополнить, а где-то даже расширить.

Регистратор и хостер

Первым делом мы, по рекомендации ICANN, пойдем к хостеру и регистратору доменного имени с просьбой заблокировать ресурс. Для упрощения получения их контактов обратимся к базе данных WHOIS:

В 99% случаев в полученных данных мы найдем записи по типу “abuse email” или “abuse contact” - специально выделенные почтовые ящики/номера телефонов по которым можно связаться с регистратором для жалобы на неправомерный контент. 

Иногда некоторые хостеры принимают жалобы через специализированные формы связи на своем сайте.Иногда такой вариант даже лучше, так как позволяет добавить больше различных доказательств вредоносности ресурса. Пример:

Далее нам необходимо подготовить эффективную жалобу. А какие же есть основные рекомендации для написания abuse-письма?

Пишем письмо регистратору:

• Используем почтовый адрес на своем домене (если фишинг нацелен на вашу организацию);

• Если мы представляем атакуемую организацию, то обозначаем на каких основаниях;

• URL на вредоносный ресурс (экранируем)

• Скриншот вредоносного ресурса

• URL на результаты сканирования Virustotal (если ресурс распространяет ВПО).

Организации по борьбе с фишингом

Антифишинговые организации стали активно развиваться в начале 2000-х годов, когда интернет стал широкодоступным, а фишинговые атаки — частым явлением. Некоторые из этих организаций собирают данные о вредоносных ресурсах для пополнения собственных баз данных, в то время как другие создают общедоступные списки таких сайтов. Вот несколько сервисов, которые первыми приходят на ум, но этот список не является исчерпывающим и может быть дополнен другими организациями.

Google Safe Browsing — это глобальная служба, которая предупреждает пользователей о потенциально опасных и фишинговых сайтах (тот самый красный экран). Чтобы подать жалобу, нужно заполнить специальную форму и указать адрес подозрительного веб-ресурса. Если жалоба будет подтверждена, сайт может быть заблокирован в браузерах, поддерживающих этот сервис.

Аналогичный сервис есть и у Яндекса - форма для подачи жалоб на подозрительные сайты. Пользователи могут выбрать категорию, будь то вирусы, фишинг или спам, и отправить ресурс на проверку. Если сайт окажется вредоносным, он будет удалён из результатов поиска Яндекса и станет недоступен для перехода в Яндекс Браузере.

К слову, Яндекс разрешает пользоваться своей базой по API - ссылка.

PhishTank — это платформа, на которой пользователи могут сообщать о фишинговых сайтах и проверять уже добавленные в базу URL. Все отправленные сайты проходят проверку как со стороны сообщества, так и экспертов, что обеспечивает актуальность и надежность данных.

Netcraft предоставляет пользователям удобные инструменты для защиты от фишинга. Вы можете сообщить о подозрительных сайтах, заполнив онлайн-форму. После проверки введенных данных, сайт будет заблокирован в системах, которые используют сервисы Netcraft.

CERT — команда реагирования на инциденты в области кибербезопасности, которая занимается выявлением, анализом и устранением киберугроз, таких как фишинг, распространение ВПО и так далее. Таких команд много и существуют они на национальном и международном уровнях что позволяет сообща странам бороться с киберпреступностью. CERT работают с инцидентами на всех этапах: от расследования и выявления источника угрозы до устранения последствий и предотвращения будущих атак.

Существуют разные объединения таких команд - FIRST, OIC-CERT, APCERT, TF-CSIRT

Что нам это дает? Обычно каналы коммуникации между CERT и другими участниками местного Интернета налажены хорошо, что дает нам еще один рычаг воздействия на локального хостера и регистратора вредоносного ресурса. Зная, в какой юрисдикции находится вредоносный ресурс, мы можем обратиться с доказательствами в местный CERT.

Обращение в перечисленные организации может быть очень полезно, поскольку происходит обмен информацией о вредоносных ресурсах, которые они обнаруживают, как между собой, так и с сообществом кибербезопасности. Это позволяет быстрее информировать конечных пользователей о новых угрозах.

Пожаловаться на ресурсы в зонах .RU/.РФ/.SU

Netoscope - проект координационного центра направлен на борьбу с вредоносными сайтами, зарегистрированными в зонах .RU и .РФ, которые используются для фишинга, распространения ВПО и другой противоправной активности. Можно отправить жалобу через сайт Доменный патруль, указав информацию о вредоносном домене. Проект работает при поддержке многих крупных организаций, таких как RU-CERT, Kaspersky, Яндекс, Dr.Web и многих других.

ИС Антифишинг - это государственная инициатива по борьбе с фишингом и вредоносными ресурсами в интернете. Для подачи жалобы нужно указать URL вредоносного ресурса, URL страницы, с которой был выполнен переход (если применимо), а также дату обнаружения угрозы. Жалобы рассматриваются в соответствии с законодательством Российской Федерации. Платформа поддерживает отправку данных на русском языке и предоставляет возможность быстрого реагирования на угрозы.

Сила социальных сетей

Ещё один способ, которым не стоит пренебрегать — это социальные сети. Если ваши письма с просьбами о блокировке вредоносных ресурсов успешно игнорируются интернет-провайдером и все перечисленные выше способы не работают, то всегда имеет смысл написать в личные сообщения хостерам/регистраторам или же публично отметить их у себя в ленте. Компании, переживающие за свой бренд, обязательно отреагируют на ваше сообщение. 

Пример

Был обнаружен сайт, подготовленный для таргетированной атаки на российскую государственную организацию. Один из пользователей отметил регистратора данного вредоносного ресурса под постом, и уже через полчаса фишинг был заблокирован.

Итог

Для наиболее быстрого удаления ресурсов с опасным контентом следует придерживаться следующих правил:

• Чем больше мест, куда мы пожалуемся, тем сильнее сокращается время жизни вредоносного сайта;

• Не стоит пренебрегать социальными сетями;

• Чем больше доказательств в виде URL-адресов, скриншотов и вердиктов антивирусных движков (если сайт распространяет вредоносное программное обеспечение), тем лучше.

С вами была команда проекта Tinyscope. В нашем телеграм-канале мы публикуем фишинговые и typosquatting-домены, регистрируемые ежедневно - присоединяйтесь!.