Lažno pozitivno poročilo o zlorabi domene se lahko zgodi, ko je domena nepravilno označena, ostala težava je shranjena v predpomnilniku, tretja varnostna lista je zastarela ali pritožba nima dovolj dokazov. Če je vaša domena prijavljena, vendar menite, da je poročilo napačno, ga ne ignorirajte. Preverite natančen prijavljeni URL, pregledajte svojo spletno stran, DNS, e-pošto, gostovanje in sezname tretjih oseb, nato pa predložite jasne dokaze prek uradnega NiceNIC podpornega ali kanala za zlorabe. NiceNIC pregleduje poročila o zlorabah na podlagi dokazov, konteksta, trenutnega tveganja in sorazmernih ukrepov. Poročilo je signal, ne samodejni dokaz.
Zakaj je ta težava pomembna za lastnike in preprodajalce domen
Lažno pozitivno poročilo o zlorabi lahko ustvarja resen poslovni pritisk. Lastnik domene se lahko boji, da bo spletna stran, poslovna e-pošta, portal za stranke, plačilna stran ali marketinška kampanja prekinjena. Preprodajalec mora vprašanje razložiti končnemu uporabniku, obenem pa tudi odgovoriti registrarju. Stranka z več domenami se lahko boji, da bi eno napačno poročilo lahko vplivalo na ugled portfelja. Zato mora biti ravnanje z lažno pozitivi praktično, mirno in založeno z dokazi.
Poročilo o zlorabi domene ne sme biti privzeto obravnavano kot končna sodba. Hkrati ga ne smemo prezreti. Nekatera na prvi pogled napačna poročila lahko razkrijejo skrito preusmeritev, okuženo datoteko, ogrožen poddomen, razkrito vtičnik CMS ali zlorabljen e-poštni poverilnici.
Pravilen pristop je preveriti, dokumentirati, če je potrebno popraviti in predložiti dokaze.
Vloga NiceNIC je zaščititi legitimne lastnike domen in preprodajalce, hkrati pa izpolnjevati obveznosti ICANN, registra in industrije glede obravnave zlorab. To pomeni, da je treba poročila o zlorabah pregledati, vendar morajo imeti legitimni uporabniki tudi jasno pot za razlago, popravek in predložitev dokazov.
Kaj pritožba ali signal zlorabe pomeni in ne pomeni
Lažno pozitiven rezultat lahko nastane v več situacijah. Včasih varnostno orodje označi domeno, ker je v preteklosti zaznalo sumljivo vedenje. Včasih prijavljen URL ne obstaja več. Včasih lahko skupni naslov IP gostovanja, veriga preusmeritev ali skripta tretje osebe povzroči zmedo. Včasih je pritožba nejasna in ne vsebuje natančnega URL-ja, posnetka zaslona, časovnega žiga ali tehničnega kazalnika. Včasih je domena zamenjana z drugo podobno domeno.
Pritožba ali signal zlorabe lahko pomeni:
- da poročevalec meni, da je prišlo do sumljive dejavnosti;
- da je varnostna platforma navedla vašo domeno;
- da je še vedno vidna stara signalizacija phishinga, zlonamerne programske opreme ali neželene pošte;
- da je treba pregledati poddomeno, preusmeritev ali skrito pot do datoteke;
- da je morda treba raziskati kompromitacijo gostovanja ali e-pošte;
Pritožba ne pomeni samodejno:
- da je vaša domena kriva;
- da je bila vaša domena namerno uporabljena za zlorabo;
- da je treba celotno domeno takoj začasno ustaviti;
- da ima poročevalec vedno prav;
- da je seznam tretjih oseb v vsakem primeru dokončen dokaz;
- da domene ni mogoče očistiti po pregledu dokazov;
- da je celotni račun preprodajalca odgovoren za težavo enega kupca.
Ta razlika je še posebej pomembna, ker ima DNS zloraba poseben pomen v kontekstu ICANN-a. ICANN DNS Abuse na splošno vključuje zlonamerno programsko opremo, botnete, phishing, pharming in neželeno pošto, kadar je neželena pošta uporabljena kot mehanizem za dostavo teh oblik DNS zlorab.
Ne vsaka pritožba glede spletnega mesta, blagovne znamke, izdelka, vsebine, spora glede plačila, vprašanja o avtorskih pravicah, vprašanja o blagovni znamki ali nesoglasja s stranko je samodejno DNS zloraba. Nekatera vprašanja lahko zahtevajo drugačne poti obravnave.
Kako NiceNIC pravično pregleda težavo
NiceNIC pregleda poročila o zlorabah v skladu z Priročnikom za obravnavo zlorab NiceNIC, na podlagi dokazov, konteksta, resnosti, trenutne aktivnosti in sorazmernega odgovora.
Pregled lahko vključuje preverjanje:
- ali poročilo vsebuje uporabne dokaze;
- ali je natančen prijavljeni URL še vedno aktiven;
- ali težava vpliva na celotno domeno ali samo na določeno stran, poddomeno, datoteko, preusmeritev ali funkcijo e-pošte;
- ali je domena videti kot zlonamerno registrirana ali legitimno registrirana, a kompromitirana;
- ali je težava zdajšnja, zastarela, že odstranjena ali ni mogoče ponoviti;
- ali so seznami tretjih oseb še vedno aktivni;
- ali je lastnik domene ali preprodajalec predložil dokaze o čiščenju ali lažno pozitiven status;
- ali je potrebna nujna omilitev za zaustavitev nadaljnje škode;
- ali je možen manj moten ukrep.
To je pomembno, ker ukrep registrarja ne bi smel temeljiti le na strahu, pritisku ali neutemeljeni obtožbi. Temeljiti mora na razumnem pregledu in razpoložljivih dejstvih.
NiceNIC prav tako prepoznava razliko med zlonamerno registracijo in kompromitirano legitimno uporabo.
Zlonamerna registracija je lahko ustvarjena predvsem za phishing, zlonamerno programsko opremo, dejavnost botneta, pharming ali podobno zlorabo. Kompromitirana legitimna domena pripada resničnemu podjetju ali uporabniku, a je bila zlorabljena prek vdorov v gostovanje, ukradenih poverilnic, ranljivih vtičnikov, vbrizganih datotek ali nepooblaščenih sprememb DNS.
Ti dve situaciji lahko zahtevata različno obravnavo. Legitimni uporabnik, ki hitro ukrepa, očisti težavo in predloži dokaze, bi moral imeti jasno pot za pregled.
Kaj naj takoj storijo lastniki domen ali preprodajalci
Če menite da je bila vaša domena nepravično prijavljena, sprejmite naslednje ukrepe.
1. Preverite svoj uradni status na NiceNIC
Prijavite se v svoj račun NiceNIC in preglejte status domene. Uporabite Kako preveriti status zlorabe vaše domene v NiceNIC, da boste razumeli, ali je domena v pregledu, ali so bili sprejeti ukrepi ali ali NiceNIC potrebuje več informacij.
Če je na voljo, uporabite Kako si ogledati povzetek pritožbe o zlorabi za svojo domeno, da identificirate prijavljeno težavo, URL, status ali povzetek dokazov.
Ne zanašajte se le na zunanje posnetke zaslona ali posredovane pritožbe. Vedno preverite uradni račun ali kanal z vozovnico.
2. Identificirajte natančno prijavljeno točko
Odgovor na lažno pozitiven rezultat mora biti specifičen.
Preverite, ali se poročilo nanaša na:
- glavno domeno;
- natančen URL;
- poddomeno;
- pot do datoteke;
- preusmeritev;
- phishing stran;
- vzorček zlonamerne programske opreme;
- spam elektronske pošte;
- DNS zapise;
- varnostni seznam tretje osebe;
- posnetek zaslona ali časovni žig.
3. Preglejte domeno, preden zavrnete poročilo
Ne odgovarjajte takoj z "to je napačno" brez pregleda.
Preverite:
- osnovno stran spletnega mesta;
- skrite URL-je;
- nedavno spremenjene datoteke;
- vtičnike in teme CMS;
- uporabnike administratorja;
- pravila preusmerjanja;
- DNS zapise;
- MX zapise;
- beleženje pošiljanja e-pošte;
- dnevnik gostovanja;
- skripte tretjih oseb;
- nastavitve CDN ali proxyja.
4. Ohranjajte dokaze
Pred in po čiščenju ali preverjanju zberite dokaze.
Uporabni dokazi so lahko posnetki zaslona, strežniški dnevniki, pregledi zlonamerne programske opreme, potrdila ponudnika gostovanja, posnetki DNS, rezultati odstranitve iz seznamov ali časovni žigi, ki kažejo, da prijavljena težava ni aktivna.
5. Odgovorite prek uradnega kanala
Oddajte svoj odgovor prek uradne vozovnice, podpore ali kanala za zlorabe NiceNIC. Ostanite dejanski in jedrnati.
Močan odgovor mora vsebovati:
- ime domene;
- prijavljeno težavo;
- kaj ste preverili;
- ali je bila težava najdena;
- kaj je bilo popravljeno, če kaj;
- zakaj menite, da je poročilo lažno ali zastarelo;
- podporni dokazi;
- zahteva za pregled.
Kateri dokazi ali materiali za odpravo so uporabni
Najboljši dokazi so odvisni od vrste lažno pozitivnega rezultata.
Če prijavljeni URL ne obstaja
Priložite posnetek zaslona, ki prikazuje rezultat 404 ali "ni najdeno," plus strežniške dnevnike, če so na voljo. Vključite natančen URL in čas vašega testa.
Če je bila težava že odstranjena
Podajte časovni potek čiščenja, posnetke zaslona po odstranitvi, rezultate pregledov in potrdilo gostovanja, če je na voljo.
Če je poročilo temeljilo na stari shranjeni strani
Pojasnite, da je stran odstranjena ali spremenjena. Priložite posnetek zaslona trenutne strani, kontekst, povezan s predpomnilnikom, in morebitne zahteve za osvežitev ali odstranitev s platforme.
Če težava izvira iz kompromitirane gostovanja
Pojasnite, da je domena videti kot kompromitirana, ne pa namerno zlorabljena. Podajte dokazilo o čiščenju, potrdilo o ponastavitvi gesla, rezultate skeniranja zlonamerne programske opreme in ukrepe za preprečevanje.
Če je domena označena s strani platforme tretje osebe
Preglejte natančen seznam in predložite dokaze o čiščenju ali statusu lažno pozitiven. Prav tako lahko preučite Zakaj je vaša domena označena pri VirusTotal, Spamhaus, Norton in URLScan.io ter kaj storiti za nadaljnje korake.
Če pritožba ni DNS zloraba
Jasno pojasnite kategorijo. Na primer, poslovni spor, zahteva za avtorske pravice, spor glede blagovne znamke, pritožba zaradi vračila denarja ali nesoglasje glede vsebine ni samodejno DNS zloraba, razen če vključuje phishing, zlonamerno programsko opremo, dejavnost botneta, pharming ali upravičen spam. Za usmeritve glede kategorij lahko preučite Kaj je DNS zloraba? Jasno vodilo za ICANN DNS Abuse v primerjavi z ne-DNS abuse.
Kaj lahko NiceNIC stori glede na situacijo
Odgovor NiceNICa je odvisen od dokazov, trenutnega tveganja in konteksta primera.
Možni izidi lahko vključujejo:
- zahtevo po bolj specifičnih dokazih od poročevalca;
- zahtevo po pojasnilih od lastnika domene ali preprodajalca;
- pregled predloženih dokazov o lažno pozitivnem statusu;
- zahtevo po odpravi, če je ugotovljena resnična težava;
- ne izvajanje ukrepov na ravni domene, če prijava ni izvedljiva ali ni mogoče preveriti;
- nadzor domene po čiščenju;
- uporaba omejitev, če je aktivna in nerešena potrjena zloraba;
- uporaba clientHold, kjer je potrebna za zaustavitev potrjene DNS zlorabe;
- koordinacija z registrom, če je vpleten status na ravni registra;
- vodenje evidenc za skladnost in revizijske potrebe.
Če je domena že omejena, lahko NiceNIC pregleda predložene dokaze, vendar obnova ni zagotovljena v vsakem primeru. Izid je lahko odvisen od dokazov, pravil registra, zgodovine primera, trenutnega tveganja in ali je bila težava popolnoma odpravljena.
Za sorodno ozadje preglejte Zakaj so domene začasno onemogočene in Kako se izogniti clientHold ter Priročnik za obravnavo zlorab NiceNIC.
Pogosta vprašanja
Ali pomeni lažno pozitivno poročilo, da bo moja domena začasno onemogočena?
Ne. Poročilo ne pomeni samodejne začasne ukinitve. NiceNIC pregleda razpoložljive dokaze, kontekst, trenutno aktivnost, resnost in ustrezne ukrepe. Vendar pa morate hitro odgovoriti z jasnimi dokazi.
Kaj naj predložim, če je poročilo napačno?
Predložite natančno domeno, prijavljeni URL ali težavo, svoje pojasnilo, posnetke zaslona, rezultate skeniranja, strežniške dnevnike, potrdilo gostovanja, zahteve za odstranitev s seznamov ali druge dokaze, ki kažejo, da je poročilo napačno ali zastarelo.
Kaj pa, če je bila moja domena prej kompromitirana, zdaj pa je čista?
Pojasnite situacijo jasno. Priložite dokazilo o čiščenju, rezultate pregledov, potrdilo o ponastavitvi gesla, opombe ponudnika gostovanja in ukrepe za preprečevanje. Poskrbljeno kompromitirano domeno je treba podpreti z dokazi.
Ali lahko platforme tretjih oseb naredijo napake?
Da, varnostni seznami tretjih oseb so lahko zastareli, nepopolni ali temeljijo na signalih, ki zahtevajo nadaljnji pregled. So koristni signali, toda lastniki domen lahko predložijo dokaze za pregled in zahtevajo popravke ali odstranitev s seznama pri ustrezni platformi.
Ali lahko NiceNIC neposredno odstrani mojo domeno iz Spamhaus, VirusTotal, Norton ali URLScan.io?
NiceNIC lahko znotraj svojega procesa registrarja pregleda primer domene, vendar platforme tretjih oseb nadzorujejo svoje sezname. Lahko boste morali neposredno na teh platformah predložiti zahteve za odstranitev ali popravek ter predložiti ustrezne dokaze NiceNIC-u.
Ali je vsako omejeno domeno mogoče očistiti po trditvi o lažno pozitivnem rezultatu?
Ne. Vsak primer je odvisen od dokazov, pravil registra, trenutnega tveganja, zgodovine primera in ali je bila težava popolnoma rešena. NiceNIC lahko pregleda vaše dokaze, vendar ne smete predvidevati nobenega izida, preden je pregled zaključen.
Zaključek
Če menite, da je bila vaša domena nepravično prijavljena, ukrepajte hitro in odgovorite z dokazi.
Prijavite se v svoj račun NiceNIC, preverite status domene, če je na voljo, si oglejte povzetek pritožbe, preglejte natančen prijavljeni URL ali signal, zberite posnetke zaslona, rezultate skeniranja, dnevnike, potrdila gostovanja ali dokaze o odstranitvi s seznama ter vse predložite prek uradnega kanala z vozovnico ali zlorabo.
Za lastnike domen uporabljajte Iskanje po domenah in svoja orodja v računu za skrbno upravljanje domen. Pri premikanju portfelja preglejte Prenos domene pred premikom katerakoli domena z aktivno težavo statusa. Za partnerje, ki upravljajo domene strank, lahko Preprodajalec domen in API za preprodajalce pomagata ustvariti jasnejše delovne tokove za komunikacijo s strankami, zbiranje dokazov in upravljanje domen.
Cilj NiceNIC je zaščititi legitimne lastnike domen in preprodajalce ter hkrati odgovorno obravnavati potrjene DNS zlorabe. Lažno pozitiven rezultat se lahko pregleda, vendar je najhitrejša pot do čiščenja vaše domene jasen dokaz, uradna komunikacija in hitri ukrepi.
DRUGE NOVICE:
Zadnje novice:
Kako NiceNIC pošilja obvestila o zlorabi in kaj preveriti
Naslednje novice: Kaj storiti, ko vaša domena prejme prijavo zlorabe
Naslednje novice: Kaj storiti, ko vaša domena prejme prijavo zlorabe







