Dzień dobry, twoja domena została porwana© Getty Images | seksan Mongkhonkhamsao

Dzień dobry, twoja domena została porwana

Patryk Słowik
30 września 2021

Coca-Cola, McDonald's, Amazon, Mastercard, Hilton, Lenovo, ING Bank, "The New York Times". Domeny znanych na całym świecie firm zostały w ostatnich latach przejęte przez przestępców. I wszyscy nadal uważają, że ich to nie spotka.

Sierpień 2013 r. Strona internetowa "New York Timesa", trzeciej co do wielkości gazety w USA, przestaje się ładować. I gdy wydaje się, że to awaria jak wiele innych, jak grom z jasnego nieba spada informacja: to nie awaria. To porwanie.

Organizacja odpowiedzialna za atak - Syrian Electronic Army - umieszcza taką informację na Twitterze.

Parada zaskoczonych

Google szybko potwierdza, że osoby, które chcą wejść na stronę gazety, po wpisaniu właściwego adresu trafiają w zupełnie inne miejsce sieci. I nie są bezpieczne, bo na serwerze, do którego kieruje porwana domena, znajduje się już "wstrzyknięte" tam złośliwe oprogramowanie umożliwiające inwigilację internautów.

Miliony Amerykanów były w szoku. Eksperci różnych firm technologicznych jednak działali szybko. Po 24 godzinach udało się domenę odzyskać. I czytelnicy NYT mogli już spokojnie zająć się lekturą, a nie usuwaniem wirusów ze swych komputerów.

Luty 2015. Przypuszczony zostaje atak na chińskie Lenovo, jednego z czołowych producentów z branży IT.

Internauci, którzy wstukują w swych wyszukiwarkach lenovo.com, szybko dowiadują się, że coś jest nie tak. Ich oczom ukazuje się bowiem nastolatek siedzący w sypialni przed komputerem. Z głośników zaś gra piosenka "Breaking Bad".

Tu również doszło do porwania. Wiemy o tym, gdyż grupa za nim stojąca - Lizard Squad - także pochwaliła się nim na Twitterze.

Przenosimy się do października 2016 r. Było wtedy raptem kilka miesięcy do premiery serialu "Dom z papieru", więc można przypuszczać, że Profesor wraz ze swoją ekipą planowali napad na mennicę, zbierali ekwipunek, trenowali strzelanie z karabinów.

W tym samym czasie - dokładnie 22 października 2016 r. o godz. 13:00 czasu brazylijskiego - porwane zostaje 36 domen należących do dużego brazylijskiego banku (w oficjalnych komunikatach nie jest podawana jego nazwa - wskazuje się jedynie, że chodzi o jeden z największych podmiotów w Brazylii).

Każdy internauta, który chce się połączyć z bankiem, łączy się tak naprawdę z podstawioną stroną, bliźniaczo przypominającą oryginalną. Ba, przestępcy tak dobrze przygotowali operację, że sfałszowane zostały certyfikaty. W efekcie bezbronni byli także ci najbardziej uważni internauci, którzy zawsze sprawdzają, czy połączenie z bankiem jest szyfrowane. W tym wypadku otrzymywali informację, że tak właśnie jest.

Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa zapewnia, że lada dzień narzędzie pozwalające zabezpieczyć domenę będzie kosztowało raptem 10 zł
Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa zapewnia, że lada dzień narzędzie pozwalające zabezpieczyć domenę będzie kosztowało raptem 10 zł © East News | Jacek Domiński

Porwanie domen umożliwiło bandytom, nieposługującym się nawet straszakiem broni, przechwycenie ogromnej liczby danych z kart kredytowych, haseł do bankowości elektronicznej, a także korespondencji banku z klientami.

Brazylijska instytucja odpowiadająca za bezpieczeństwo w sieci opanowała kryzys w ciągu 5 godzin. Skala przestępczego procederu nie jest znana do dziś. Eksperci szacują jednak, że ofiarami przekrętu padło kilka milionów klientów banku.

Realna przestępczość

W ostatnich kilku latach porwane zostały ponad 4 tysiące domen internetowych należących do ponad 500 firm. Żaden z tych przypadków nie miał miejsca w Polsce, a przynajmniej o tym nie wiemy.

Tłumacząc najprościej: gdy wstukujemy adres strony w przeglądarce internetowej, chcemy, żeby wyświetliły nam się określone treści. Przykładowo więc gdy ktoś wpisuje www.wp.pl, chce sprawdzić, o czym aktualnie pisze najpopularniejszy portal internetowy w Polsce.

Treści, które publikują dziennikarze WP, znajdują się na naszych serwerach. Sam adres, który internauta wpisuje, jest jednak nazwą domeny; czymś, co może być oderwane od poszukiwanych treści.

Jeśli więc przykładowo wskutek przestępczej działalności ktoś porwałby domenę wp.pl, niewykluczone, że oczom internauty ukazałyby się nie najnowsze informacje z Polski i świata, lecz reklama ultragenialnej maty do masażu bądź oferty matrymonialne.

O wiele gorsza sytuacja może nastąpić wtedy, gdy porwana zostanie domena banku.

Większość przestępców bowiem chce przejąć domenę dużej instytucji finansowej nie dla żartu, lecz w celu zarobienia ogromnych pieniędzy. Możliwy jest więc wariant, w którym internauta nie będzie w stanie odróżnić właściwego panelu klienta bankowości internetowej od fałszywego, do złudzenia przypominającego ten prawdziwy.

Porwanie domeny umożliwia więc proceder jeszcze doskonalszy niż phishing (sprowadza się on najczęściej do wyłudzenia danych wskutek zabiegów socjotechnicznych, np. wysłanie maila z linkiem prowadzącym do fałszywej strony), gdyż nawet dobrze zorientowany internauta w zasadzie nie ma możliwości dostrzec przekrętu.

Jest też o wiele prostsze niż włamanie się na serwery np. banku, gdyż te zazwyczaj są doskonale zabezpieczone. A panel pozwalający na przeniesienie domeny już niekoniecznie.

- Zasoby dużych instytucji, takich jak banki czy globalne korporacje, przechowywane są w centrach danych, których infrastruktura jest dobrze zabezpieczana. W przypadku rejestratorów domen internetowych dostęp do administracji danymi jest umożliwiony poprzez panel klienta. Tutaj szczególnym zagrożeniem jest przechwycenie danych dostępowych do takiego panelu przez osoby trzecie, co może mieć miejsce np. w wyniku działań socjotechnicznych lub zaniedbań podstawowych zasad bezpieczeństwa - przyznaje Piotr Studziński-Raczyński, starszy specjalista ds. DNS w dziale domen NASK, czyli państwowego instytutu badawczego, który prowadzi rejestr nazw w domenie .pl.

Studziński-Raczyński mówi wprost: po przeniesieniu domeny na "swoje" serwery można ją wykorzystać w różnych celach, np. zbudować fałszywą stronę, niczym się nie różniącą od tej prawdziwej (np. panel klienta bankowości internetowej), a następnie zainstalować tam złośliwe oprogramowanie. Może dojść również do przejęcia danych wrażliwych, korespondencji e-mail.

- Tego rodzaju ataki są niezwykle silne w przypadku stron często odwiedzanych, które generują duży ruch, np. banków, dystrybucja złośliwego oprogramowania jest wtedy bardzo efektywna - podkreśla specjalista z NASK.

Sejf nie dla każdego

Polscy przedsiębiorcy - nawet ci najwięksi - albo nie zdają sobie sprawy z ryzyka porwania domeny, albo uważają, że ich to na pewno nie spotka.

Istnieje bowiem rozwiązanie, które pozwala radykalnie ograniczyć ryzyko porwania. I korzysta z niego raptem mniej niż 100 podmiotów w Polsce.

Chodzi o usługę .pl Registry Lock. Polega ona na zablokowaniu w głównym rejestrze aktualnych danych związanych z domeną. W dużym uproszczeniu można to przyrównać do włożenia czegoś do sejfu. I dostać się do tego można dopiero po przejściu kilku kroków. Właściciel zrobi to bez kłopotu. Przestępca zaś będzie miał o wiele większy problem.

Koszt usługi to niespełna tysiąc złotych.

O porwaniu domen słyszymy najczęściej wtedy, gdy "uprowadzenie" dotyczy banków
O porwaniu domen słyszymy najczęściej wtedy, gdy "uprowadzenie" dotyczy banków © East News | Bartlomiej Magierowski

Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa, mówi nam, że rzeczywiście zainteresowanie jest nikłe. Aby więc bariery nie stanowiły kwestie finansowe, lada dzień narzędzie pozwalające zabezpieczyć domenę będzie kosztowało raptem 10 zł. Tak, by nikt nie rezygnował ze zwiększenia bezpieczeństwa ze względów ekonomicznych.

Czy to oznacza, że sprawa będzie rozwiązana? Bynajmniej.

Raz, że część biznesu, nawet ta znająca zagrożenia, może w pełni świadomie nie korzystać z narzędzia. Powód?

- Każdy mechanizm bezpieczeństwa ma to do siebie, że choć podnosi trudność i koszt ataku włamywaczowi, to niestety czasem także trochę utrudnia działania prawowitemu właścicielowi zabezpieczanej usługi (tu: abonentowi domeny). Registry Lock po włączeniu spowalnia możliwość rekonfiguracji pewnych parametrów domeny jej właścicielowi i być może niektórzy wolą być mniej bezpieczni, ale móc reagować szybciej i bez spełniania dodatkowych warunków tej usługi - zauważa Łukasz Grzmot, pentester (czyli osoba sprawdzająca systemy pod kątem podatności na różnego rodzaju ataki) w Niebezpiecznik.pl.

Mówiąc najprościej: włożenie kosztowności do sejfu zmniejsza ryzyko, że zostaną one nam ukradzione. Ale powodują, że każdorazowo, gdy chcemy sami się do nich dostać, musimy poświęcić na to chwilę. Z tego też powodu nadal większość Polaków nie korzysta w internecie z wieloetapowego uwierzytelniania - bo uznajemy to za niewygodne.

Telefon o domenę

Kolejną kwestią jest to, że polscy przedsiębiorcy nadal nie traktują domen internetowych jako wartościowego składnika majątku w swoich firmach. Uważają bowiem, że coś, co wykupili za kilkanaście, góra kilkadziesiąt zł w skali roku, nie ma wielkiej wartości.

Coraz więcej przedsiębiorców wykazuje większą świadomość w zakresie ochrony swoich produktów czy usług, głównie przy wykorzystaniu wariantów ochrony przewidzianych w ustawodawstwie dotyczącym ochrony praw własności intelektualnej, w szczególności znaków towarowych, jednak temat ochrony domen internetowych cały czas traktowany jest mniej uważnie

- przyznaje Witold Masionek, adwokat w kancelarii Brysiewicz, Bokina, Sakławski i Wspólnicy, specjalizujący się w prawie nowoczesnych technologii. Dzieje się tak nie tylko w przypadku drobnych biznesów, lecz także u średnich i dużych przedsiębiorców.

Zdaniem Masionka taka sytuacja wynika z panującego błędnego przekonania, że domenę jest łatwiej zarejestrować, z rejestracji wynikają mniejsze koszty, a ze względu na niższy koszt utrzymania domena stanowi mniejszą wartość dla przedsiębiorstwa. Natomiast w przypadku utraty domeny zawsze istnieje szansa, że uda się w krótkim czasie wykupić i korzystać z domeny o podobnym brzmieniu.

- Dopiero po utracie domeny - najczęściej wskutek nieprzedłużenia jej ważności, potencjalnie wskutek porwania - przedsiębiorca dostrzeże, jak znaczne mogą być straty finansowe i wizerunkowe - zauważa mec. Masionek.

Prawnik podkreśla, że domeny należy traktować jako wartościowy składnik przedsiębiorstwa, który pomaga przedsiębiorcy budować markę i renomę w oczach odbiorców jego towarów czy usług.

- Strona internetowa zarejestrowana w danej domenie stanowi też pierwszy punkt kontaktu z klientem, a w niektórych przypadkach jest głównym kanałem dystrybucji produktów czy usług - zaznacza prawnik.

A doświadczenie wielu instytucji ze świata, w tym brazylijskiego banku, pokazują, że gdy pojawi się kłopot z domeną, wystąpi też problem ze staromodnym telefonem. Najzwyczajniej w świecie żaden kabel nie poradzi sobie z tysiącami zdenerwowanych klientów, którzy boją się o swój majątek.