Специалисты по сетевой безопасности обнаружили нетрадиционные фишинговые рассылки, целью которых является хищение доменных имен в зонах, контролируемых регистраторами Network Solutions и eNom.
В поддельных уведомлениях службы технической поддержки eNom получателю сообщается о временном отсутствии доступа к аккаунту в связи с проведением профилактических работ в информационном центре. Фальшивые письма, написанные от имени администрации Network Solutions и рассылаемые с ботнета Pushdo, требуют продлить истекший срок пользования доменным именем под угрозой передачи его другому лицу.
В обоих случаях адрес отправителя указан как tech@название-компании.com, а указанная в теле письма URL-ссылка ведет на поддельную веб-страницу регистрации целевого аккаунта. Эксперты Sophos отмечают, что html-код этих страниц идентичен оригинальному во всем, кроме поля для ввода имени и пароля. Как удалось установить исследователям компании Marshal, поддельный веб-сайт Network Solutions размещен на домене .asia.
По мнению экспертов, время проведения, назначение и высокий уровень подготовки упомянутых фишинговых атак не случайны. Их инициаторами, скорее всего, являются встревоженные клиенты регистратора доменных имен EstDomains, полномочия которого недавно были поставлены под сомнение международной организацией ICANN.
Если EstDomains лишится аккредитации, криминальным элементам, которые беспрепятственно хостились в подведомственных ей сетях, придется перекочевывать к другим регистраторам, как это уже сделали самые прозорливые из них. Похищенные у регистрантов eNom и Network Solutions реквизиты откроют злоумышленникам доступ к чужим аккаунтам и могут быть использованы ими для регистрации новых доменов. Кроме того, уже зарегистрированные жертвами фишинга доменные имена с «белой» репутацией можно перевести к другому регистратору и использовать как прикрытие в криминальной деятельности.
По данным ICANN, компания-регистратор eNom контролирует около 9 миллионов доменных имен, Network Solutions – более 6 миллионов.
Источник: marshal.com
Источник: sophos.com
Фишеры открыли охоту на чужие домены