Домен, про який повідомляють про зловживання, не завжди є шкідливим доменом. Іноді справжній бізнес-домен може бути скомпрометований через зламаний хостинг, викрадені облікові дані, вразливі плагіни, несанкціоновані зміни DNS або зловживання налаштуваннями електронної пошти. В інших випадках домен може виглядати зареєстрованим переважно для фішингу, шкідливого програмного забезпечення, ботнет-активності, фармінгу або інших зловживань DNS. Різниця має значення, оскільки NiceNIC розглядає повідомлення про зловживання на основі доказів, контексту, серйозності, поточної шкоди та пропорційних дій. Якщо ваш домен було скомпрометовано, слід діяти швидко, усунути проблему, забезпечити безпеку середовища та надати докази усунення через офіційну службу підтримки NiceNIC або канал для повідомлень про зловживання.
Чому це питання важливе для власників доменів та реселерів
Для власника домену повідомлення про зловживання може відчуватися як звинувачення без достатніх доказів. Для реселера ситуація може бути ще складнішою, оскільки повідомлення може отримувати саме реселер, хоча кінцевий клієнт контролює сайт, хостинг, електронну пошту або CMS.
Відмінність між скомпрометованим доменом і шкідливою реєстрацією є одним з найважливіших питань під час розгляду випадків зловживань.
Скомпрометований легітимний домен може належати реальному бізнесу, агентству, неприбутковій організації, розробнику, інтернет-магазину або довгостроковому клієнту. Домен може працювати нормально місяцями чи роками перед виникненням інциденту безпеки.
Шкідлива реєстрація, навпаки, може показувати ознаки того, що домен був створений або придбаний переважно для зловживань. Він може бути нещодавно зареєстрованим, мати обманливі назви, містити фішингові сторінки, перенаправляти користувачів на шкідливий контент або з’являтися у кількох звітах безпеки незабаром після реєстрації.
Ці дві ситуації не слід автоматично розглядати однаковими. Метою NiceNIC є захист легітимних власників доменів та реселерів, одночасно відповідально реагуючи на підтверджені зловживання DNS. Це означає розгляд фактів, надання клієнтам можливості надати докази усунення, коли це доречно, та уникнення непотрібних перешкод, якщо менш шкідлива реакція може вирішити ризик.
Що означає (і що не означає) скарга або сигнал про зловживання
Повідомлення про зловживання — це сигнал, що вимагає перевірки. Воно автоматично не є доказом того, що власник домену навмисно здійснив зловживання.
Скарга або сигнал про зловживання можуть означати:
знайдено фішингову сторінку на домені;
виявлено файл шкідливого ПЗ;
спостерігалося підозріле перенаправлення;
може бути зловживання піддоменом;
могло надсилатися спам із використанням домену або пов’язаної інфраструктури;
домен знаходиться у сторонньому списку безпеки;
повідомник вважає, що домен пов’язаний зі шкідливою діяльністю;
NiceNIC потрібні уточнення, докази усунення або подальший розгляд.
Скарга автоматично не означає:
що реєстрант навмисно зареєстрував домен для зловживань;
що весь домен є шкідливим;
що власник домену знав про проблему;
що призупинення завжди є першим або єдиним доречним кроком;
що звіт заявника є повним або остаточним;
що домен не можна переглянути після усунення проблеми;
що вся облікова запись реселера несе відповідальність за проблему одного кінцевого клієнта.
У розгляді зловживань, пов’язаних із ICANN, зловживання DNS зазвичай включають шкідливе програмне забезпечення, ботнети, фішинг, фармінг і спам, коли спам використовується як механізм доставки цих форм зловживань DNS. Не кожна скарга на порушення авторських прав, торговельної марки, ділової поведінки, контенту сайту, спори про повернення коштів чи непорозуміння з клієнтом є автоматично зловживанням DNS.
Ось чому класифікація важлива. Зламаний веб-сайт, застарілий плагін, викрадений пароль від поштової скриньки та навмисно зареєстрований фішинговий домен вимагають різних шляхів розгляду та реагування.
Як NiceNIC справедливо розглядає питання
NiceNIC розглядає випадки зловживань відповідно до Посібника з розгляду зловживань NiceNIC, на основі доказів, контексту, поточного ризику та пропорційного пом’якшення.
Під час розгляду NiceNIC може враховувати:
Практичне питання під час розгляду: Чи це легітимний домен, який було скомпрометовано і який можна усунути, чи наявні докази свідчать, що сам домен використовується в зловживаннях?
Відповідь впливає на наступні відповідні дії.
Як зазвичай виглядає скомпрометований домен
Скомпрометований домен зазвичай є легітимним доменом, який зловжито без відома власника.
Типові ознаки включають:
Що власники доменів або реселери повинні робити негайно
Якщо про ваш домен повідомлено і ви вважаєте, що він скомпрометований, а не шкідливо зареєстрований, дійте швидко.
По-перше, увійдіть у свій акаунт NiceNIC і перегляньте статус домену. Використайте Як перевірити статус зловживань для вашого домену в NiceNIC для розуміння, чи домен знаходиться на розгляді, обмежений або очікує на дію клієнта. Якщо доступна, перегляньте Як переглянути резюме скарги на зловживання для вашого домену для визначення проблеми, яка була вказана.
По-друге, уважно перевірте точно вказаний об’єкт скарги. Не обмежуйтеся лише головною сторінкою. Перевірте вказаний URL, піддомен, шлях до файлу, перенаправлення, поведінку електронної пошти або сторонні списки.
По-третє, забезпечте безпеку ураженого середовища. Перевірте файли сайту, користувачів CMS, плагіни, теми, DNS-записи, сервери імен, MX-записи, журнали електронної пошти, журнали доступу до хостингу та сторонні сервіси. Видаліть невідомих користувачів, скиньте паролі, оновіть програмне забезпечення, видаліть шкідливі файли та відключіть підозрілі скрипти.
По-четверте, зв’яжіться з вашим провайдером хостингу, якщо проблема пов’язана з хостингом. Запитайте сканування на шкідливе ПЗ, підтвердження очищення та письмові нотатки про виявлені та видалені елементи.
По-п’яте, відповідайте через офіційний канал підтримки NiceNIC або канал для зловживань фактами та доказами. Не надсилайте лише загальні заперечення.
Для реселерів негайно зв'яжіться з кінцевим клієнтом. Запитайте технічні докази, а не лише усні заяви. Потім надішліть назад до NiceNIC чітке резюме з додатками.
Які докази або матеріали з усунення проблем є корисними
Корисними доказами можуть бути:
Хороша відповідь має дати відповіді на чотири запитання:
Якщо ваш домен позначений стороннім джерелом, перегляньте Чому ваш домен позначений VirusTotal, Spamhaus, Norton та URLScan.io і що робити і надайте відповідні докази очищення або вилучення зі списків.
Якщо ви не впевнені, чи є скарга зловживанням DNS, ознайомтеся з матеріалом Що таке зловживання DNS? Чіткий посібник щодо DNS-зловживань ICANN проти не-DNS-зловживань.
Що NiceNIC може робити в залежності від ситуації
Відповідь NiceNIC залежить від доказів, серйозності та того, чи триває проблема.
Можливі дії можуть включати:
Якщо домен виглядає скомпрометованим і власник швидко надає достовірні докази очищення, розгляд може зосередитись на усуненні та зниженні ризику. Якщо домен виглядає шкідливо зареєстрованим і зловживання триває, може знадобитись суворіші заходи.
Для отримання вказівок щодо статусу ознайомтеся з Чому домени блокують і як уникнути clientHold та Посібником з розгляду зловживань NiceNIC.
Висновок
Якщо про ваш домен повідомили про зловживання, перш за все визначте, чи це скомпрометований легітимний домен чи звинувачення у злочинному використанні.
Увійдіть у свій акаунт NiceNIC, перевірте статус домену, перегляньте резюме скарги, якщо доступне, уважно проінспектуйте точний зазначений URL або сигнал, забезпечте безпеку вашого сайту, DNS, електронної пошти та хостинг-середовища, і надішліть докази очищення або уточнення через офіційний тикет чи канал для зловживань.
Для планування нових доменів скористайтеся Пошуком доменних імен, щоб обирати домени ретельно. Для переміщення портфоліо перед переміщенням доменів зі статусами, що викликають проблеми, перегляньте Доменно-транзакційний процес. Для партнерів, що керують доменами клієнтів, Реселер доменів та Reseller API допоможуть створити зрозуміліші робочі процеси для комунікації з клієнтами, збору доказів і управління доменами.
NiceNIC має за мету захищати легітимних власників доменів і реселерів, відповідально реагуючи на підтверджені зловживання DNS і підтримуючи безпеку екосистеми DNS.
Чому це питання важливе для власників доменів та реселерів
Для власника домену повідомлення про зловживання може відчуватися як звинувачення без достатніх доказів. Для реселера ситуація може бути ще складнішою, оскільки повідомлення може отримувати саме реселер, хоча кінцевий клієнт контролює сайт, хостинг, електронну пошту або CMS.
Відмінність між скомпрометованим доменом і шкідливою реєстрацією є одним з найважливіших питань під час розгляду випадків зловживань.
Скомпрометований легітимний домен може належати реальному бізнесу, агентству, неприбутковій організації, розробнику, інтернет-магазину або довгостроковому клієнту. Домен може працювати нормально місяцями чи роками перед виникненням інциденту безпеки.
Шкідлива реєстрація, навпаки, може показувати ознаки того, що домен був створений або придбаний переважно для зловживань. Він може бути нещодавно зареєстрованим, мати обманливі назви, містити фішингові сторінки, перенаправляти користувачів на шкідливий контент або з’являтися у кількох звітах безпеки незабаром після реєстрації.
Ці дві ситуації не слід автоматично розглядати однаковими. Метою NiceNIC є захист легітимних власників доменів та реселерів, одночасно відповідально реагуючи на підтверджені зловживання DNS. Це означає розгляд фактів, надання клієнтам можливості надати докази усунення, коли це доречно, та уникнення непотрібних перешкод, якщо менш шкідлива реакція може вирішити ризик.
Що означає (і що не означає) скарга або сигнал про зловживання
Повідомлення про зловживання — це сигнал, що вимагає перевірки. Воно автоматично не є доказом того, що власник домену навмисно здійснив зловживання.
Скарга або сигнал про зловживання можуть означати:
знайдено фішингову сторінку на домені;
виявлено файл шкідливого ПЗ;
спостерігалося підозріле перенаправлення;
може бути зловживання піддоменом;
могло надсилатися спам із використанням домену або пов’язаної інфраструктури;
домен знаходиться у сторонньому списку безпеки;
повідомник вважає, що домен пов’язаний зі шкідливою діяльністю;
NiceNIC потрібні уточнення, докази усунення або подальший розгляд.
Скарга автоматично не означає:
що реєстрант навмисно зареєстрував домен для зловживань;
що весь домен є шкідливим;
що власник домену знав про проблему;
що призупинення завжди є першим або єдиним доречним кроком;
що звіт заявника є повним або остаточним;
що домен не можна переглянути після усунення проблеми;
що вся облікова запись реселера несе відповідальність за проблему одного кінцевого клієнта.
У розгляді зловживань, пов’язаних із ICANN, зловживання DNS зазвичай включають шкідливе програмне забезпечення, ботнети, фішинг, фармінг і спам, коли спам використовується як механізм доставки цих форм зловживань DNS. Не кожна скарга на порушення авторських прав, торговельної марки, ділової поведінки, контенту сайту, спори про повернення коштів чи непорозуміння з клієнтом є автоматично зловживанням DNS.
Ось чому класифікація важлива. Зламаний веб-сайт, застарілий плагін, викрадений пароль від поштової скриньки та навмисно зареєстрований фішинговий домен вимагають різних шляхів розгляду та реагування.
Як NiceNIC справедливо розглядає питання
NiceNIC розглядає випадки зловживань відповідно до Посібника з розгляду зловживань NiceNIC, на основі доказів, контексту, поточного ризику та пропорційного пом’якшення.
Під час розгляду NiceNIC може враховувати:
- чи звіт містить дієві докази;
- чи точний зазначений URL все ще активний;
- чи проблема стосується всього домену чи лише певного URL, шляху файлу, піддомену, перенаправлення або потоку електронної пошти;
- чи домен є новозареєстрованим або давнім;
- чи домен має законне комерційне призначення;
- чи домен виглядає навмисно обманним;
- чи проблема виникла через хостинг, DNS, електронну пошту, CMS або сторонні сервіси;
- чи власник домену або реселер відповіли;
- чи надано докази усунення;
- чи потрібне термінове пом’якшення для припинення поточної шкоди;
- чи може бути достатньо менш руйнівної дії.
Практичне питання під час розгляду: Чи це легітимний домен, який було скомпрометовано і який можна усунути, чи наявні докази свідчать, що сам домен використовується в зловживаннях?
Відповідь впливає на наступні відповідні дії.
Як зазвичай виглядає скомпрометований домен
Скомпрометований домен зазвичай є легітимним доменом, який зловжито без відома власника.
Типові ознаки включають:
- домен має усталений вебсайт або комерційне призначення;
- проблема з’являється раптово після нормальної роботи;
- торкається лише певного URL, папки, піддомену або скрипту;
- головна сторінка може виглядати нормально;
- зловживання може включати приховані файли, інжектовані сторінки або перенаправлення;
- власник може ідентифікувати та видалити скомпрометовані елементи;
- провайдер хостингу може підтвердити очищення;
- клієнт може показати кроки з усунення проблеми.
- вразливість плагіна WordPress створює приховані фішингові сторінки;
- стару CMS використовують для розміщення шкідливого ПЗ;
- вкрадений пароль електронної пошти використовується для спаму;
- скрипт перенаправлення інжектовано у файли вебсайту;
- піддомен вказує на скомпрометований сторонній сервіс;
- DNS-записи змінюються після викриття облікових даних.
Що власники доменів або реселери повинні робити негайно
Якщо про ваш домен повідомлено і ви вважаєте, що він скомпрометований, а не шкідливо зареєстрований, дійте швидко.
По-перше, увійдіть у свій акаунт NiceNIC і перегляньте статус домену. Використайте Як перевірити статус зловживань для вашого домену в NiceNIC для розуміння, чи домен знаходиться на розгляді, обмежений або очікує на дію клієнта. Якщо доступна, перегляньте Як переглянути резюме скарги на зловживання для вашого домену для визначення проблеми, яка була вказана.
По-друге, уважно перевірте точно вказаний об’єкт скарги. Не обмежуйтеся лише головною сторінкою. Перевірте вказаний URL, піддомен, шлях до файлу, перенаправлення, поведінку електронної пошти або сторонні списки.
По-третє, забезпечте безпеку ураженого середовища. Перевірте файли сайту, користувачів CMS, плагіни, теми, DNS-записи, сервери імен, MX-записи, журнали електронної пошти, журнали доступу до хостингу та сторонні сервіси. Видаліть невідомих користувачів, скиньте паролі, оновіть програмне забезпечення, видаліть шкідливі файли та відключіть підозрілі скрипти.
По-четверте, зв’яжіться з вашим провайдером хостингу, якщо проблема пов’язана з хостингом. Запитайте сканування на шкідливе ПЗ, підтвердження очищення та письмові нотатки про виявлені та видалені елементи.
По-п’яте, відповідайте через офіційний канал підтримки NiceNIC або канал для зловживань фактами та доказами. Не надсилайте лише загальні заперечення.
Для реселерів негайно зв'яжіться з кінцевим клієнтом. Запитайте технічні докази, а не лише усні заяви. Потім надішліть назад до NiceNIC чітке резюме з додатками.
Які докази або матеріали з усунення проблем є корисними
Корисними доказами можуть бути:
- скріншоти, що показують, що вказаний URL видалено або він чистий;
- результати сканування на шкідливе ПЗ;
- підтвердження очищення від провайдера хостингу;
- журнали сервера, що демонструють відсутність проблеми;
- записи очищення CMS;
- скріншоти DNS до і після змін;
- підтвердження скидання пароля;
- записи вилучення підозрілих користувачів;
- огляд журналів електронної пошти;
- докази, що зловживані SMTP-креденціали були відключені;
- запити або підтвердження вилучення з третіх сторін;
- короткий графік усунення проблеми;
- примітки реселера від кінцевого клієнта з технічними доказами.
Хороша відповідь має дати відповіді на чотири запитання:
- Що було повідомлено?
- Чи підтверджено проблему?
- Що ви зробили, щоб її усунути?
- Які докази свідчать, що домен тепер безпечний або що звіт був неправильним?
Якщо ваш домен позначений стороннім джерелом, перегляньте Чому ваш домен позначений VirusTotal, Spamhaus, Norton та URLScan.io і що робити і надайте відповідні докази очищення або вилучення зі списків.
Якщо ви не впевнені, чи є скарга зловживанням DNS, ознайомтеся з матеріалом Що таке зловживання DNS? Чіткий посібник щодо DNS-зловживань ICANN проти не-DNS-зловживань.
Що NiceNIC може робити в залежності від ситуації
Відповідь NiceNIC залежить від доказів, серйозності та того, чи триває проблема.
Можливі дії можуть включати:
- запит у повідомника більш конкретних доказів;
- запит у власника домену чи реселера уточнень;
- запит доказів усунення проблеми;
- надання часу на усунення, якщо це доречно;
- моніторинг домену після усунення;
- відсутність дій на рівні домену, якщо звіт не є дієвим або не може бути перевірений;
- застосування тимчасових обмежень, якщо підтверджене зловживання триває;
- застосування clientHold, де потрібно, для припинення підтверджених зловживань DNS;
- координація з реєстром, якщо це стосується дій на рівні реєстру;
- ведення записів про обробку зловживань для відповідності та аудиту.
Якщо домен виглядає скомпрометованим і власник швидко надає достовірні докази очищення, розгляд може зосередитись на усуненні та зниженні ризику. Якщо домен виглядає шкідливо зареєстрованим і зловживання триває, може знадобитись суворіші заходи.
Для отримання вказівок щодо статусу ознайомтеся з Чому домени блокують і як уникнути clientHold та Посібником з розгляду зловживань NiceNIC.
Висновок
Якщо про ваш домен повідомили про зловживання, перш за все визначте, чи це скомпрометований легітимний домен чи звинувачення у злочинному використанні.
Увійдіть у свій акаунт NiceNIC, перевірте статус домену, перегляньте резюме скарги, якщо доступне, уважно проінспектуйте точний зазначений URL або сигнал, забезпечте безпеку вашого сайту, DNS, електронної пошти та хостинг-середовища, і надішліть докази очищення або уточнення через офіційний тикет чи канал для зловживань.
Для планування нових доменів скористайтеся Пошуком доменних імен, щоб обирати домени ретельно. Для переміщення портфоліо перед переміщенням доменів зі статусами, що викликають проблеми, перегляньте Доменно-транзакційний процес. Для партнерів, що керують доменами клієнтів, Реселер доменів та Reseller API допоможуть створити зрозуміліші робочі процеси для комунікації з клієнтами, збору доказів і управління доменами.
NiceNIC має за мету захищати легітимних власників доменів і реселерів, відповідально реагуючи на підтверджені зловживання DNS і підтримуючи безпеку екосистеми DNS.
ПОВ’ЯЗАНІ НОВИНИ:
Останні новини:
Чому ми вимагаємо докази перед припиненням на рівні домену
Наступні новини: How NiceNIC Sends Abuse Notices and What Domain Owners Should Check
Наступні новини: How NiceNIC Sends Abuse Notices and What Domain Owners Should Check







