После проблем из-за «угона» домена издание «Банки Сегодня» снова начинает работу

Злоумышленнику удалось получить доступ к домену, но благодаря огласке и активным действиям администрации сайт удалось отстоять.

Как мы писали вечером 25 сентября, домен нашего издания был фактически «угнан» через перевыпуск сим-карты, взлом электронной почты и личного кабинета на сайте регистратора доменных имен.

Мошенник воспользовался несовершенством процедуры повторной выдачи сим-карты у мобильного оператора, с ее помощью получил доступ к электронной почте, а затем – к личному кабинету. Там он сразу инициировал перенос домена на аккаунт другого пользователя. Так как наш сайт находится в международной зоне .net, это было сделать легче, чем с национальным доменом .ru.

Буквально сразу мы смогли отследить действия злоумышленника, но вернуть контроль над доменом получилось не сразу:

  1. после того, как стало известно о взломе, владелец домена обратился к мобильному оператору и заблокировал вторую сим-карту;
  2. мы написали об этом на нескольких популярных ресурсах в сети. Особенно большой резонанс история получила на IT-ресурсе Habr.com;
  3. уже к утру отреагировал регистратор, заблокировав дальнейшие операции с доменом (это было важно, чтобы злоумышленник не смог вывести его за пределы одного регистратора);
  4. днем стало понятно, что у домена сменился адрес DNS. Фактически большая часть запросов к нашему сайту переадресовывались на другой сайт – внешне полную копию нашего, но с другим адресом. В несколько раз упала посещаемость нашего сайта;
  5. благодаря быстрым действиям, к вечеру 26 сентября (то есть, через сутки после начала всей истории) DNS удалось вернуть на правильный. Но проблема оказалась в том, что злоумышленник настроил 301-й редирект со всех страниц нашего сайта на свою копию. И из-за особенностей работы браузеров некоторая часть наших читателей еще некоторое время будет автоматически переадресована на поддельный сайт;
  6. 28 сентября домен был разблокирован и вернулся в распоряжение настоящего владельца.

На данный момент решены еще не все проблемы, но то, что сделано, позволяет нам снова начать работу в полном объеме: информировать и просвещать наших читателей, как это было и до «угона» домена.

Мы надеемся, что широкая огласка и общественный резонанс в итоге приведут к некоторым изменениям в политике безопасности российских компаний. Прежде всего это касается практически ничем не защищенной процедуры замены сим-карты: злоумышленник смог получит сим-карту другого человека, не имея ни доверенности, ни его паспорта.

Кроме того, мы сами теперь приложим максимум усилий к защите нашего сайта и, в конечном счете, наших читателей.