Domenas, apie kurį pranešta dėl piktnaudžiavimo, ne visada yra kenkėjiškas domenas. Kartais teisėtas verslo domenas kompromituojamas per nulaužtą talpinimą, pavogtas prisijungimo duomenis, pažeidžiamus papildinius, neteisėtus DNS pakeitimus arba piktnaudžiaujamus el. pašto nustatymus. Kitais atvejais domenas gali atrodyti užregistruotas daugiausia dėl sukčiavimo, kenkėjiškos programinės įrangos, botneto veiklos, pharmingo ar kito DNS piktnaudžiavimo. Šis skirtumas yra svarbus, nes NiceNIC peržiūri piktnaudžiavimo pranešimus remdamasi įrodymais, kontekstu, sunkumu, tęstine žala ir proporcingu veiksmu. Jei jūsų domenas buvo kompromituotas, turėtumėte veikti greitai, pašalinti problemą, užtikrinti aplinką ir pateikti pataisymo įrodymus per oficialią NiceNIC pagalbos arba piktnaudžiavimo kanalą.
Kodėl ši problema yra svarbi domenų savininkams ir perpardavėjams
Domeno savininkui pranešimas apie piktnaudžiavimą gali atrodyti kaip kaltinimas, kol faktai dar nėra aiškūs. Perpardavėjui situacija gali būti dar sudėtingesnė, nes pranešimas gali būti gaunamas perpardavėjo, o galutinis klientas valdo svetainę, talpinimą, el. paštą ar CMS.
Skirtumas tarp kompromituoto domeno ir kenkėjiško registravimo yra viena svarbiausių piktnaudžiavimo valdymo problemų.
Kompromituotas teisėtas domenas gali priklausyti tikram verslui, agentūrai, ne pelno organizacijai, kūrėjui, internetinei parduotuvei ar ilgalaikiam klientui. Domenas gali veikti normaliai mėnesius ar metus prieš saugumo incidentą.
Kenkėjiškas registravimas, priešingai, gali rodyti, kad domenas buvo sukurtas arba įsigytas daugiausia piktnaudžiavimui. Jis gali būti naujai užregistruotas, naudoti klaidinančius pavadinimo modelius, talpinti sukčiavimo puslapius, nukreipti vartotojus į kenksmingą turinį arba atsirasti keliuose saugumo pranešimuose netrukus po registracijos.
Šios dvi situacijos neturėtų būti automatiškai traktuojamos vienodai. NiceNIC tikslas yra apsaugoti teisėtus domenų savininkus ir perpardavėjus, atsakingai sprendžiant patvirtintą DNS piktnaudžiavimą. Tai reiškia, kad reikia peržiūrėti faktus, leisti klientams pateikti pataisymo įrodymus, kur tai tinkama, ir vengti nereikalingų trikdžių, kai mažiau žalingas atsakas gali spręsti riziką.
Ką skundas arba piktnaudžiavimo signalas reiškia ir nereikš
Piktnaudžiavimo pranešimas yra signalas, kuris reikalauja peržiūros. Tai nėra automatiškai įrodymas, kad domeno savininkas tyčia piktnaudžiavo.
Skundas arba piktnaudžiavimo signalas gali reikšti:
kad domene rastas sukčiavimo puslapis;
kad aptiktas kenkėjiškas failas;
kad buvo pastebėtas įtartinas nukreipimas;
kad gali būti piktnaudžiaujama subdomenu;
kad domenas ar susijusi infrastruktūra galėjo būti naudojami siųsti šlamštui;
kad domenas yra trečiosios šalies saugumo sąraše;
kad pranešėjas tiki, jog domenas susijęs su kenksminga veikla;
kad NiceNIC reikia paaiškinimų, pataisymo įrodymų ar tolesnės peržiūros.
Skundas automatiškai nereikš:
kad registrantas tyčia užregistravo domeną piktnaudžiavimui;
kad visas domenas yra kenkėjiškas;
kad domeno savininkas žinojo apie problemą;
kad sustabdymas visada yra pirmas ar vienintelis tinkamas veiksmas;
kad skundo pranešimas yra galutinis ar baigtinis;
kad domenas negali būti peržiūrėtas po problemos pašalinimo;
kad perpardavėjo visas paskyra yra atsakinga už vieno galutinio kliento problemą.
ICANN susijusioje piktnaudžiavimo valdyme, DNS piktnaudžiavimas paprastai apima kenkėjišką programinę įrangą, botnetus, sukčiavimą, pharmingą ir šlamštą, kai pastarasis naudojamas kaip pristatymo mechanizmas tiems DNS piktnaudžiavimo tipams. Ne kiekvienas skundas dėl autorių teisių, prekių ženklų, verslo elgesio, svetainės turinio, grąžinimo ginčų ar klientų nesutarimų automatiškai yra DNS piktnaudžiavimas.
Todėl klasifikacija yra svarbi. Hakuota svetainė, pasenęs papildinys, pavogtas pašto slaptažodis ir tyčia užregistruotas sukčiavimo domenas reikalauja skirtingų peržiūros ir atsako kelių.
Kaip NiceNIC sąžiningai peržiūri problemą
NiceNIC nagrinėja piktnaudžiavimo atvejus pagal NiceNIC piktnaudžiavimo valdymo vadovą, remdamasi įrodymais, kontekstu, esama rizika ir proporcingu rizikos valdymu.
Peržiūros metu NiceNIC gali apsvarstyti:
Praktinis peržiūros klausimas yra: ar šis domenas yra teisėtas ir kompromituotas, kurį galima pataisyti, ar turimi įrodymai rodo, kad domenas pats yra naudojamas kaip piktnaudžiavimo dalis?
Atsakymas lemia tinkamą tolesnį žingsnį.
Kaip paprastai atrodo kompromituotas domenas
Kompromituotas domenas dažniausiai yra teisėtas domenas, kuris buvo neteisėtai naudojamas be savininko žinios.
Dažni požymiai yra:
Ką domenų savininkai arba perpardavėjai turi padaryti nedelsdami
Jei jūsų domenas buvo praneštas ir manote, kad jis kompromituotas, o ne kenkėjiškai užregistruotas, veikite greitai.
Pirma, prisijunkite prie savo NiceNIC paskyros ir peržiūrėkite domeno būseną. Pasinaudokite Kaip patikrinti savo domeno piktnaudžiavimo būseną NiceNIC, kad sužinotumėte, ar domenas yra peržiūroje, ribojamas ar laukia kliento veiksmų. Jei galima, peržiūrėkite Kaip peržiūrėti piktnaudžiavimo pranešimo santrauką savo domenui, kad identifikuotumėte praneštą problemą.
Antra, patikrinkite tikslų praneštą elementą. Netikrinkite tik pagrindinio puslapio. Peržiūrėkite praneštą URL, subdomeną, failo kelią, nukreipimą, el. pašto elgseną ar trečiosios šalies sąrašą.
Trečia, užtikrinkite paveiktą aplinką. Patikrinkite svetainės failus, CMS naudotojus, papildinius, temas, DNS įrašus, vardų serverius, MX įrašus, el. pašto žurnalus, talpinimo prieigos žurnalus ir trečiųjų šalių paslaugas. Pašalinkite nežinomus vartotojus, atnaujinkite slaptažodžius, atnaujinkite programinę įrangą, ištrinkite kenkėjiškus failus ir išjunkite įtartinus scenarijus.
Ketvirta, susisiekite su savo talpinimo tiekėju, jei yra talpinimo problema. Paprašykite kenkėjiškos programinės įrangos skenavimo, švarinimo patvirtinimo ir raštiškų pastabų, kas buvo rastas ir pašalinta.
Penkta, atsakykite per oficialų NiceNIC pagalbos arba piktnaudžiavimo kanalą pateikdami faktus ir įrodymus. Nesiųskite tik bendro neigimo.
Perpardavėjams nedelsiant susisiekite su galutiniu klientu. Prašykite techninių įrodymų, ne tik žodinio pareiškimo. Tada atsakykite NiceNIC su aiškia santrauka ir priedais.
Kokie įrodymai ar pataisymo medžiaga yra naudingi
Naudingi įrodymai gali būti:
Geras atsakymas turėtų atsakyti į keturis klausimus:
Jei jūsų domenas yra pažymėtas trečiosios šalies šaltiniu, peržiūrėkite Kodėl jūsų domenas pažymėtas VirusTotal, Spamhaus, Norton ir URLScan.io ir ką daryti ir pateikite atitinkamus švarinimo ar pašalinimo įrodymus.
Jei nesate tikri, ar skundas yra DNS piktnaudžiavimas, peržiūrėkite Kas yra DNS piktnaudžiavimas? Aiškus vadovas apie ICANN DNS piktnaudžiavimą ir ne DNS piktnaudžiavimą.
Ką NiceNIC gali daryti priklausomai nuo situacijos
NiceNIC atsakas priklauso nuo įrodymų, sunkumo ir to, ar problema tęsiasi.
Galimi veiksmai gali būti:
Jei domenas atrodo kompromituotas ir savininkas greitai pateikia patikimus švarinimo įrodymus, peržiūra gali koncentruotis į pataisymą ir rizikos mažinimą. Jei domenas atrodo kenkėjiškai užregistruotas ir piktnaudžiavimas yra aktyvus, gali prireikti griežtesnių priemonių.
Dėl būsenos susijusių gairių peržiūrėkite Kodėl domenai yra sustabdomi ir kaip išvengti clientHold ir NiceNIC piktnaudžiavimo valdymo vadovą.
Išvada
Jei jūsų domenas buvo praneštas dėl piktnaudžiavimo, pirmiausia nuspręskite, ar problema atrodo esanti kompromituotas teisėtas domenas, ar kaltinimas kenkėjišku naudojimu.
Prisijunkite prie savo NiceNIC paskyros, patikrinkite domeno būseną, peržiūrėkite skundo santrauką, jei ji prieinama, patikrinkite tikslų praneštą URL ar signalą, apsaugokite savo svetainę, DNS, el. paštą ir talpinimo aplinką bei pateikite švarinimo įrodymus ar paaiškinimus per oficialų užklausų ar piktnaudžiavimo kanalą.
Naujų domenų planavimui naudokite Domenų paiešką atsargiai renkantis domenus. Perkėlimo atveju peržiūrėkite Domenų perleidimą, prieš judinant domenus su aktyvios būsenos problemomis. Partneriams, valdantiems klientų domenus, Domenų perpardavėjas ir Perpardavėjo API padeda sukurti aiškesnius darbo srautus klientų komunikacijai, įrodymų rinkimui ir domenų valdymui.
NiceNIC tikslas yra apsaugoti teisėtus domenų savininkus ir perpardavėjus, atsakingai sprendžiant patvirtintą DNS piktnaudžiavimą ir saugant DNS ekosistemą.
Kodėl ši problema yra svarbi domenų savininkams ir perpardavėjams
Domeno savininkui pranešimas apie piktnaudžiavimą gali atrodyti kaip kaltinimas, kol faktai dar nėra aiškūs. Perpardavėjui situacija gali būti dar sudėtingesnė, nes pranešimas gali būti gaunamas perpardavėjo, o galutinis klientas valdo svetainę, talpinimą, el. paštą ar CMS.
Skirtumas tarp kompromituoto domeno ir kenkėjiško registravimo yra viena svarbiausių piktnaudžiavimo valdymo problemų.
Kompromituotas teisėtas domenas gali priklausyti tikram verslui, agentūrai, ne pelno organizacijai, kūrėjui, internetinei parduotuvei ar ilgalaikiam klientui. Domenas gali veikti normaliai mėnesius ar metus prieš saugumo incidentą.
Kenkėjiškas registravimas, priešingai, gali rodyti, kad domenas buvo sukurtas arba įsigytas daugiausia piktnaudžiavimui. Jis gali būti naujai užregistruotas, naudoti klaidinančius pavadinimo modelius, talpinti sukčiavimo puslapius, nukreipti vartotojus į kenksmingą turinį arba atsirasti keliuose saugumo pranešimuose netrukus po registracijos.
Šios dvi situacijos neturėtų būti automatiškai traktuojamos vienodai. NiceNIC tikslas yra apsaugoti teisėtus domenų savininkus ir perpardavėjus, atsakingai sprendžiant patvirtintą DNS piktnaudžiavimą. Tai reiškia, kad reikia peržiūrėti faktus, leisti klientams pateikti pataisymo įrodymus, kur tai tinkama, ir vengti nereikalingų trikdžių, kai mažiau žalingas atsakas gali spręsti riziką.
Ką skundas arba piktnaudžiavimo signalas reiškia ir nereikš
Piktnaudžiavimo pranešimas yra signalas, kuris reikalauja peržiūros. Tai nėra automatiškai įrodymas, kad domeno savininkas tyčia piktnaudžiavo.
Skundas arba piktnaudžiavimo signalas gali reikšti:
kad domene rastas sukčiavimo puslapis;
kad aptiktas kenkėjiškas failas;
kad buvo pastebėtas įtartinas nukreipimas;
kad gali būti piktnaudžiaujama subdomenu;
kad domenas ar susijusi infrastruktūra galėjo būti naudojami siųsti šlamštui;
kad domenas yra trečiosios šalies saugumo sąraše;
kad pranešėjas tiki, jog domenas susijęs su kenksminga veikla;
kad NiceNIC reikia paaiškinimų, pataisymo įrodymų ar tolesnės peržiūros.
Skundas automatiškai nereikš:
kad registrantas tyčia užregistravo domeną piktnaudžiavimui;
kad visas domenas yra kenkėjiškas;
kad domeno savininkas žinojo apie problemą;
kad sustabdymas visada yra pirmas ar vienintelis tinkamas veiksmas;
kad skundo pranešimas yra galutinis ar baigtinis;
kad domenas negali būti peržiūrėtas po problemos pašalinimo;
kad perpardavėjo visas paskyra yra atsakinga už vieno galutinio kliento problemą.
ICANN susijusioje piktnaudžiavimo valdyme, DNS piktnaudžiavimas paprastai apima kenkėjišką programinę įrangą, botnetus, sukčiavimą, pharmingą ir šlamštą, kai pastarasis naudojamas kaip pristatymo mechanizmas tiems DNS piktnaudžiavimo tipams. Ne kiekvienas skundas dėl autorių teisių, prekių ženklų, verslo elgesio, svetainės turinio, grąžinimo ginčų ar klientų nesutarimų automatiškai yra DNS piktnaudžiavimas.
Todėl klasifikacija yra svarbi. Hakuota svetainė, pasenęs papildinys, pavogtas pašto slaptažodis ir tyčia užregistruotas sukčiavimo domenas reikalauja skirtingų peržiūros ir atsako kelių.
Kaip NiceNIC sąžiningai peržiūri problemą
NiceNIC nagrinėja piktnaudžiavimo atvejus pagal NiceNIC piktnaudžiavimo valdymo vadovą, remdamasi įrodymais, kontekstu, esama rizika ir proporcingu rizikos valdymu.
Peržiūros metu NiceNIC gali apsvarstyti:
- ar pranešime yra veiksmai leidžiančių įrodymų;
- ar tikslus praneštas URL vis dar aktyvus;
- ar problema paveikia visą domeną ar tik konkretų URL, failo kelią, subdomeną, nukreipimą ar el. pašto srautą;
- ar domenas yra naujai užregistruotas ar ilgalaikis;
- ar domenas turi teisėtą verslo paskirtį;
- ar domenas atrodo tyčia klaidinantis;
- iš kur problema kilo: iš talpinimo, DNS, el. pašto, CMS ar trečiosios šalies paslaugų;
- ar domeno savininkas ar perpardavėjas atsakė;
- ar pateikti švarinimo įrodymai;
- ar reikia skubios intervencijos siekiant sustabdyti tęstinę žalą;
- ar pakanka mažiau trikdančių veiksmų.
Praktinis peržiūros klausimas yra: ar šis domenas yra teisėtas ir kompromituotas, kurį galima pataisyti, ar turimi įrodymai rodo, kad domenas pats yra naudojamas kaip piktnaudžiavimo dalis?
Atsakymas lemia tinkamą tolesnį žingsnį.
Kaip paprastai atrodo kompromituotas domenas
Kompromituotas domenas dažniausiai yra teisėtas domenas, kuris buvo neteisėtai naudojamas be savininko žinios.
Dažni požymiai yra:
- domenas turi veikiančią svetainę arba verslo paskirtį;
- problema atsiranda staiga po normalios veiklos;
- paveiktas tik konkretus URL, aplankas, subdomenas ar scenarijus;
- pagrindinis puslapis gali atrodyti normaliai;
- piktnaudžiavimas gali apimti paslėptus failus, įterptus puslapius ar nukreipimus;
- savininkas gali identifikuoti ir pašalinti kompromisą;
- talpinimo tiekėjas gali patvirtinti švarinimą;
- klientas gali parodyti pataisymo veiksmus.
- WordPress papildinio pažeidžiamumas sukuria paslėptus sukčiavimo puslapius;
- senas CMS diegimas naudojamas kenkėjiškai programinei įrangai talpinti;
- pavogtas el. pašto slaptažodis naudojamas šlamštui siųsti;
- svetainės failuose įrašytas nukreipimo scenarijus;
- subdomenas nukreipia į kompromituotą trečiosios šalies paslaugą;
- DNS įrašai pakeisti po paskyros kredencialų nutekėjimo.
Ką domenų savininkai arba perpardavėjai turi padaryti nedelsdami
Jei jūsų domenas buvo praneštas ir manote, kad jis kompromituotas, o ne kenkėjiškai užregistruotas, veikite greitai.
Pirma, prisijunkite prie savo NiceNIC paskyros ir peržiūrėkite domeno būseną. Pasinaudokite Kaip patikrinti savo domeno piktnaudžiavimo būseną NiceNIC, kad sužinotumėte, ar domenas yra peržiūroje, ribojamas ar laukia kliento veiksmų. Jei galima, peržiūrėkite Kaip peržiūrėti piktnaudžiavimo pranešimo santrauką savo domenui, kad identifikuotumėte praneštą problemą.
Antra, patikrinkite tikslų praneštą elementą. Netikrinkite tik pagrindinio puslapio. Peržiūrėkite praneštą URL, subdomeną, failo kelią, nukreipimą, el. pašto elgseną ar trečiosios šalies sąrašą.
Trečia, užtikrinkite paveiktą aplinką. Patikrinkite svetainės failus, CMS naudotojus, papildinius, temas, DNS įrašus, vardų serverius, MX įrašus, el. pašto žurnalus, talpinimo prieigos žurnalus ir trečiųjų šalių paslaugas. Pašalinkite nežinomus vartotojus, atnaujinkite slaptažodžius, atnaujinkite programinę įrangą, ištrinkite kenkėjiškus failus ir išjunkite įtartinus scenarijus.
Ketvirta, susisiekite su savo talpinimo tiekėju, jei yra talpinimo problema. Paprašykite kenkėjiškos programinės įrangos skenavimo, švarinimo patvirtinimo ir raštiškų pastabų, kas buvo rastas ir pašalinta.
Penkta, atsakykite per oficialų NiceNIC pagalbos arba piktnaudžiavimo kanalą pateikdami faktus ir įrodymus. Nesiųskite tik bendro neigimo.
Perpardavėjams nedelsiant susisiekite su galutiniu klientu. Prašykite techninių įrodymų, ne tik žodinio pareiškimo. Tada atsakykite NiceNIC su aiškia santrauka ir priedais.
Kokie įrodymai ar pataisymo medžiaga yra naudingi
Naudingi įrodymai gali būti:
- ekranvaizdžiai, rodantys, kad praneštas URL yra pašalintas arba švarus;
- kenkėjiškos programos nuskaitymo rezultatai;
- talpinimo tiekėjo patvirtinimas apie švarinimą;
- serverio žurnalai, rodantys, kad problema nebeaktyvi;
- CMS švarinimo įrašai;
- prieš ir po DNS ekrano vaizdai;
- slaptažodžio atstatymo patvirtinimas;
- įtartinų vartotojų pašalinimo įrašai;
- el. pašto žurnalų peržiūra;
- įrodymas, kad piktnaudžiaujami SMTP kredencialai buvo išjungti;
- trečiųjų šalių pašalinimo prašymai arba patvirtinimai;
- trumpas pataisymo laikotarpis;
- perpardavėjo pastabos iš galutinio kliento su techniniais įrodymais.
Geras atsakymas turėtų atsakyti į keturis klausimus:
- Ką pranešė?
- Ar problema buvo patvirtinta?
- Ką darėte, kad ją išspręstumėte?
- Kokie įrodymai rodo, kad domenas dabar saugus arba pranešimas buvo neteisingas?
Jei jūsų domenas yra pažymėtas trečiosios šalies šaltiniu, peržiūrėkite Kodėl jūsų domenas pažymėtas VirusTotal, Spamhaus, Norton ir URLScan.io ir ką daryti ir pateikite atitinkamus švarinimo ar pašalinimo įrodymus.
Jei nesate tikri, ar skundas yra DNS piktnaudžiavimas, peržiūrėkite Kas yra DNS piktnaudžiavimas? Aiškus vadovas apie ICANN DNS piktnaudžiavimą ir ne DNS piktnaudžiavimą.
Ką NiceNIC gali daryti priklausomai nuo situacijos
NiceNIC atsakas priklauso nuo įrodymų, sunkumo ir to, ar problema tęsiasi.
Galimi veiksmai gali būti:
- prašyti pranešėjo pateikti tikslesnių įrodymų;
- prašyti domeno savininko ar perpardavėjo pateikti paaiškinimus;
- reikalauti pataisymo įrodymų;
- leisti laiką švarinimui, jei tai tinkama;
- stebėti domeną po švarinimo;
- neskirti domenui veiksmų, jei pranešimas nėra veiksnus ar negali būti patikrintas;
- taikyti laikinas ribojimus, jei patvirtintas piktnaudžiavimas yra aktyvus;
- jei reikia, taikyti clientHold, kad būtų sustabdytas patvirtintas DNS piktnaudžiavimas;
- koordinuoti su registru, jei susijęs veiksmas yra registrų lygyje;
- saugoti piktnaudžiavimo valdymo įrašus atitikties ir audito tikslais.
Jei domenas atrodo kompromituotas ir savininkas greitai pateikia patikimus švarinimo įrodymus, peržiūra gali koncentruotis į pataisymą ir rizikos mažinimą. Jei domenas atrodo kenkėjiškai užregistruotas ir piktnaudžiavimas yra aktyvus, gali prireikti griežtesnių priemonių.
Dėl būsenos susijusių gairių peržiūrėkite Kodėl domenai yra sustabdomi ir kaip išvengti clientHold ir NiceNIC piktnaudžiavimo valdymo vadovą.
Išvada
Jei jūsų domenas buvo praneštas dėl piktnaudžiavimo, pirmiausia nuspręskite, ar problema atrodo esanti kompromituotas teisėtas domenas, ar kaltinimas kenkėjišku naudojimu.
Prisijunkite prie savo NiceNIC paskyros, patikrinkite domeno būseną, peržiūrėkite skundo santrauką, jei ji prieinama, patikrinkite tikslų praneštą URL ar signalą, apsaugokite savo svetainę, DNS, el. paštą ir talpinimo aplinką bei pateikite švarinimo įrodymus ar paaiškinimus per oficialų užklausų ar piktnaudžiavimo kanalą.
Naujų domenų planavimui naudokite Domenų paiešką atsargiai renkantis domenus. Perkėlimo atveju peržiūrėkite Domenų perleidimą, prieš judinant domenus su aktyvios būsenos problemomis. Partneriams, valdantiems klientų domenus, Domenų perpardavėjas ir Perpardavėjo API padeda sukurti aiškesnius darbo srautus klientų komunikacijai, įrodymų rinkimui ir domenų valdymui.
NiceNIC tikslas yra apsaugoti teisėtus domenų savininkus ir perpardavėjus, atsakingai sprendžiant patvirtintą DNS piktnaudžiavimą ir saugant DNS ekosistemą.
SUSIJUSIOS NAUJIENOS:
Paskutinės naujienos:
Kodėl reikalaujame įrodymų prieš imdamiesi veiksmų domenų lygmeniu
Naujausi naujienos: Kaip NiceNIC siunčia piktnaudžiavimo pranešimus ir ką tikrinti
Naujausi naujienos: Kaip NiceNIC siunčia piktnaudžiavimo pranešimus ir ką tikrinti







