Узнайте, что такое тайпсквоттинг, как он работает и как защититься от мошенничества, включая примеры атак и способы предотвращения. Подробности и советы по безопасности.
Злоумышленники регистрируют домены, похожие на популярные сайты, но с типичными опечатками. Попав на такой ресурс, человек может не сразу заметить подмену, особенно если дизайн скопирован один в один. В результате — фишинг, кража данных или даже установка вредоносного программного обеспечения.
Тайпсквоттинг (typosquatting) — это кибератака, при которой злоумышленники используют опечатки в адресах сайтов. Когда пользователь вручную набирает URL и ошибается даже в одном символе, он может попасть на поддельный ресурс. Такие сайты часто имитируют легальные, вынуждая жертв вводить пароли, банковские данные или другую конфиденциальную информацию.
Ошибки могут быть самыми незначительными — пропущенная буква, переставленные символы или неправильный домен. Но их достаточно, чтобы перенаправить пользователя на вредоносную страницу. Этот способ атаки также называют подменой доменов или URL-перехватом. Для компаний последствия могут быть серьезными: ущерб репутации, утечка данных и финансовые потери.
Поддельные сайты, которые используют злоумышленники, делятся на три типа.
Для бизнеса такие атаки приносят репутационные риски и серьезные финансовые потери, потому что каждый клиент, попавший на фальшивый сайт — это потенциальная упущенная прибыль.
Злоумышленники специально регистрируют имена, похожие на популярные библиотеки, рассчитывая на невнимательность разработчиков. Например, в адрес “google.com” могут добавить лишнюю “o”, или “g” которую вы, скорее всего, не заметите.
Такие поддельные репозитории часто содержат вредоносный код. Одна ошибка при установке зависимостей — и в проект попадает уязвимость или бэкдор. Особенно опасны случаи, когда разница почти незаметна, мы привели пример чуть выше.
Хозяину и команде разработчиков сайта придется потратить много времени на поиск и устранение последствий, восстановление репутационного ущерба, предотвращение утечки данных.
Тайпсквоттинг классифицируется по типу искажения доменного имени, на которое рассчитывает злоумышленник, чтобы ввести пользователя в заблуждение.
Цели тайпсквоттинга могут быть разными — от прямого мошенничества до скрытого заработка. Вот основные из них:
Крупные компании регулярно становятся жертвами тайпсквоттинга. Например, домен goggle.com долгое время использовался для распространения вредоносного ПО.
Посетители, ошибочно набравшие этот адрес вместо Google.com, сталкивались с навязчивой рекламой и порнографическими всплывающими окнами. Особую опасность представляла программа SpySheriff, маскировавшаяся под антивирусное ПО, но фактически повреждавшая системы пользователей.
Даже налоговая служба США также пострадала от подобных атак. Мошенники создали копии официального сайта IRS, где под видом налоговых форм собирали финансовые данные граждан. Многие налогоплательщики, случайно попавшие на эти страницы, становились жертвами кражи личных данных.
В 2020 году перед переписью населения в сети появились поддельные сайты, имитирующие ресурс Бюро переписей. Эти страницы распространяли ложную информацию и пытались получить доступ к персональным данным пользователей.
Пандемия COVID-19 спровоцировала новую волну тайпсквоттинга. Злоумышленники регистрировали домены, похожие на официальные ресурсы ВОЗ и других медицинских организаций. Под видом информации о вирусе они распространяли вредоносное ПО или похищали конфиденциальные сведения.
Гиганту Amazon также не удалось избежать подобных атак. Мошенники перенаправляли пользователей на страницы домена аmazan.com с агрессивной рекламой и попытками установки нежелательных программ
Мошенники активно регистрируют похожие адреса, подделывая популярные биржи и кошельки. Когда пользователи по ошибке попадают на эти сайты, они часто обвиняют в мошенничестве настоящий сервис, даже не подозревая о подмене. Репутационные потери в таком случае бывают невосполнимыми.
Финансовые последствия оказываются еще серьезнее. Через фальшивые страницы злоумышленники перехватывают платежи, предназначенные для легальных платформ. Известны случаи, когда подобные схемы приводили к потере миллионов долларов — средства уходили на мошеннические адреса вместо развития реальных проектов.
Особенность крипторынка усугубляет проблему — транзакции невозможно отменить, а анонимность blockchain затрудняет поиск преступников. Даже технически подкованные пользователи становятся жертвами, когда торопятся совершить операцию и не замечают подмены в адресной строке.
Для разработчиков это означает необходимость постоянного мониторинга похожих доменов и активной работы с сообществом. Профилактические меры помогают минимизировать риски, но полностью исключить угрозу тайпсквоттинга в децентрализованной блокчейн-среде пока невозможно.
Однако надежнее всего – использовать качественного DNS провайдера. Как правило, такие сервисы автоматически проверяют все сайты, к которым вы обращаетесь, и блокируют вредоносные домены с опечатками, фишинговые страницы и другие онлайн-угрозы.
Например, наш сервис SkyDNS проверяет ваши DNS-запросы, выявляя характерные признаки угроз и сравнивая их с собственной базой вредоносных источников, состоящей из 127 млн доменов по всему миру. Благодаря системе фильтрации на основе ИИ и машинного обучения, также блокируются новые, только что созданные фальшивые домены — вы просто не сможете на них попасть.
Фальшивые сайты могут навредить и компании, и ее клиентам. Несмотря на то, что полностью остановить тайпсквоттинг невозможно, вы можете снизить риски, сохраняя при этом репутацию на рынке и клиентов.
Если вы владелец домена, объясните пользователям, как можно проверить сайт. Люди часто попадают на поделки из-за невнимательности. Расскажите им, что перед вводом данных стоит убедиться, что:
Вот что можно предпринять, чтобы минимизировать вероятность того, что ваш сайт скопируют злоумышленники.
Регистрация товарного знака дает законные основания для защиты бренда в цифровой среде. В России защита прав на доменные имена обеспечивается статьей 1484 ГК РФ, которая запрещает использовать без разрешения обозначения, схожие с зарегистрированным товарным знаком, если это может ввести потребителя в заблуждение.
Это правило распространяется и на домены — их незаконное использование может квалифицироваться как киберсквоттинг или недобросовестная конкуренция. Правообладатель имеет возможность требовать прекращения нарушений и компенсации убытков как в суде, так и в досудебном порядке.
Порядок разрешения доменных споров зависит от типа домена. Для национальных зон (.ru, .su, .рф) дела рассматриваются в российских судах на основании Положения №2012-07/47 и федеральных законов. В некоторых случаях споры попадают в ФАС.
Если домен относится к международной зоне, применяются административные процедуры ICANN. Наиболее популярная из них — UDRP, позволяющая быстро и профессионально решать споры без обращения в суд. Более подробно об особенностях UDRP можно прочитать здесь.
Если обнаружили сайт-клон, обратитесь в Центр обмена информацией о товарных знаках (ICANN). При достаточных основаниях его приостановят.
При регистрации домена используйте реальные данные — лучше зарегистрировать его на компанию, директора или ИП (если у вас соответствующий статус). И обязательно укажите два контактных email. Так вы точно не пропустите важные уведомления. Не забывайте следить за сроком регистрации, ведь как только домен освобождается, его сразу хватают перекупщики. Вернуть потом бывает сложно и дорого – проще настроить автопродление и спать спокойно.
Люди довольно часто допускают ошибки при наборе адреса. Подумайте над такими потенциальными ошибками ввода: пропущенные буквы, лишние буквы и символы, и попробуйте зарегистрировать такие домены. Таким образом вы лишите мошенников шанса воспользоваться ошибками пользователей.
Если вы столкнулись с мошенниками, использующими поддельные сайты и криптовалюты, важно правильно оформить обращение. Основные инстанции, куда следует подавать заявление — ГУ МВД по киберпреступности (ЦИБ МВД), Роскомнадзор и Банк России.
В ЦИБ МВД можно обратиться через онлайн-приемную на сайте МВД или лично в отделении полиции. В заявлении необходимо указать адрес мошеннического сайта с опечаткой, данные оригинального домена, криптовалютные кошельки злоумышленников (если они известны), а также приложить скриншоты платежных страниц.
Роскомнадзор занимается блокировкой фишинговых ресурсов. Обращение подается через официальный сайт ведомства с приложением доказательств клонирования сайта — скриншотов и URL.
Если мошенники использовали криптообменники или российские платежные системы, дополнительно стоит сообщить об этом в Банк России через платформу Fincert.
К заявлению постарайтесь приложить максимум доказательств: скриншоты поддельного сайта с видимым веб-адресом, WHOIS-данные домена, выписки криптовалютных переводов (если были платежи) и переписку с мошенниками при ее наличии
Цифровые следы лучше фиксировать через нотариальные веб-сайты, а хеши транзакций сохранять — это поможет правоохранительным органам в расследовании.
Подобные преступления квалифицируются по нескольким статьям УК РФ, включая мошенничество, незаконный оборот платежных средств и недобросовестное использование доменов.
Роскомнадзор блокирует сайт в течение трех рабочих дней, а решение о возбуждении уголовного дела принимается до 30 суток. Чтобы ускорить процесс, рекомендуется подавать обращения одновременно в ЦИБ МВД и Fincert.
В уголовно-правовой сфере подобные действия преимущественно квалифицируются по статье 159 УК РФ (Мошенничество), предусматривающей наказание вплоть до 10 лет лишения свободы. Параллельно могут применяться нормы статей 180 УК РФ (до 3 лет за незаконное использование товарных знаков), 187 УК РФ (до 7 лет за противоправные операции с платежными средствами), а также 272-274 УК РФ при наличии признаков неправомерного доступа к компьютерной информации.
Административное законодательство предусматривает ответственность по статье 14.10 КоАП РФ, устанавливающей штрафные санкции до 200 тысяч рублей с возможностью конфискации доменного имени. Практика показывает, что Роскомнадзор осуществляет блокировку подобных ресурсов в сжатые сроки - обычно в течение трех рабочих дней с момента выявления нарушения.
В гражданско-правовом поле правообладатели имеют возможность взыскивать с нарушителей компенсацию в размере до 5 миллионов рублей, а также требовать возмещения реального ущерба и упущенной выгоды. Судебная практика последних лет демонстрирует тенденцию к увеличению размеров присуждаемых компенсаций.
Процессуальные особенности расследования таких преступлений связаны с необходимостью оперативной фиксации доказательств — скриншотов страниц, данных WHOIS и информации о денежных переводах. При этом анонимность регистрации доменов и использование криптовалютных платежей существенно осложняют процесс идентификации правонарушителей.
Оба вида мошенничества связаны с регистрацией доменных имен, но преследуют разные цели и реализуются по-разному.
Киберсквоттинг предполагает захват доменов, похожих на названия любых легитимных организации, в особенности, известных криптовалютных проектов или бирж. Злоумышленники либо пытаются продать эти адреса законным владельцам брендов, либо используют их для обмана пользователей.
Тайпсквоттинг работает иначе. Здесь мошенники специально регистрируют домены с опечатками ввода в названиях популярных платформ. Такие адреса призваны вводить пользователей в заблуждение — посетители по ошибке заходят на фальшивые сайты, где становятся жертвами кражи учетных данных или заражения вредоносным ПО.