GoDaddy вимикає шахрайські субдомени

Реєстратор та веб-хостинг GoDaddy http://godaddy.com закрив близько 15 000 субдоменів, якими шахраї зловживали, продаючи сумнівні чудо-таблетки, починаючи від дієти і закінчуючи допінгом. [. ]

Злочинці, очевидно, викрали вірчі дані законних клієнтів і створили сторінки, які потім використовувались у спам-кампаніях з мільйонами електронних листів про сміття. Мережа виявила блок 42 год спеціаліста з безпеки Palo Alto Networks.

godaddy

Велика мережа шахрайства

Дослідник підрозділу 42 Джефф Уайт виявив шахрайські домени під час розслідування великої спам-кампанії, здійсненої шахрайськими маркетинговими філіями. Сміттєві листи призвели до разюче схожих сайтів, які насправді рекламують абсолютно різні продукти, такі як таблетки для схуднення, прискорювачі мозку та допінги. Зокрема, вигадані відгуки знаменитостей від таких знаменитостей, як Стівен Хокінг, Дженніфер Лопес чи Гвен Стефані, використовувались як тактика продажів. Мета: жертвам слід обдурити, мимоволі підписуючись на дорогі, безглузді підписки.

Однак у цьому випадку шахраї не просто робили ставку безпосередньо на одноразові домени. "Коли я почав проводити дослідження, швидко натрапив на сотні доменів, багато з яких виявилися скомпрометованими і насправді не призначеними для спаму", - пояснює Уайт. Фактично законні субдомени, розміщені на GoDaddy, були явно використані для переспрямування. Люди, які стояли за кампанією шахрайства, очевидно, працювали з викраденими даними доступу, які вони або отримали за допомогою фішингу, або знайшли за допомогою так званого "набору облікових даних".

Єдиний пароль, яким легко зловживати

За допомогою набору облікових даних злочинці намагаються з’ясувати, чи працюють викрадені дані доступу певних користувачів на одній сторінці на інших веб-сайтах, якими вони користуються. Зрештою, є багато людей, які використовують один і той же пароль для різних служб. Завдяки цьому всі облікові записи можуть бути зловживані - і, можливо, також піддомен GoDaddy, керований цими даними доступу. Однак незрозуміло, в якій частці сайтів шахрайства злочинці насправді застосовували цю тактику.

У будь-якому випадку, згідно з підрозділом 42, GoDaddy у березні цього року вимкнув близько 15 000 постраждалих субдоменів і попросив законних власників відповідних облікових записів скинути свої паролі. Для користувачів, які потрапили у спам-кампанію, це, звичайно, мало корисно; їм доводиться мати справу із тим, що виплати за їх передплату припиняються. Щоб цього не сталося з користувачами (знову ж таки), Уайт посилається на старе емпіричне правило у зв’язку з сумнівними електронними листами про чудо-таблетки: «Якщо це звучить занадто добре, щоб бути правдою, це, мабуть, теж».