Как у меня украли домен, и что делать в такой ситуации

Уважаемые владельцы сайтов! Прежде чем читать эту статью, бросьте всё, зайдите в свой личный кабинет у доменного регистратора и убедитесь, что у вас подключена услуга двойной верификации. Это когда при входе в аккаунт вы сначала вводите обычный пароль, потом вам на телефон падает код, вы вводите его в соответствующее окно – и только после этого вас авторизуют. Проверили? Все в порядке? Тогда продолжаем. Не повторяйте моих ошибок, иначе в один прекрасный день с вами может случиться примерно следующее (сначала история, потом инструкции и мораль)…

Утром 30 сентября захожу я в свою почту и вижу письмо следующего содержания:

Опять какой-то фишинг, решила я сначала, но призадумалась. Смотрю: адрес REG.RU – настоящий, все уведомления приходят мне именно с него. Дай, думаю, проверю всё в личном кабинете (далее ЛК). Захожу я туда – а мне говорят: нет у вас никаких доменов. Зато в исходящих лежит заявка, отправленная в 5.45 утра по Москве (в почте указано местное время, МСК+3) с просьбой от моего имени передать домен web-likbez.com в полное управление пользователю igoris7676. И ответ: Ваша заявка принята и исполнена. И понимаю я, что мой домен украли.

В Москве меж тем было почти 8 утра – время, когда операторы REG.RU (по словам их же автоответчика) приступают к работе. В ожидании их прихода я написала тикеты, заявки и письма с большим количеством кэпслока и восклицательных знаков на все их электронные адреса и во все их тикет-системы. С 8.00 прозванивала скайп и оба найденных телефона. Никакой реакции. Только тётенька-робот уверенно сообщала, что все придут в 8.00. В начале десятого ее уверенность ничуть не ослабла, а никто при этом так и не пришел. Онлайн-чат также был отключен по причине отсутствия операторов.

Не стану описывать свои эмоции в те полтора часа, на которые операторы REG.RU опоздали на свою работу. В это время я развлекалась битьем головой об стену, хаотичным метанием по офису и составлением картины преступления. На малыша Игориса7676 мне удалось собрать следующее:

Юный хакер и геймер igoris7676 живет в селе Пайгарма, в 6 километрах от г. Рузаевка Республики Мордовия. IP 92.255.201.253, с которого он ко мне заходил, зареган в спамерской базе. Мальчег в прошлом году сдавал ЕГЭ, зовут его Игорь Абанин, скайп igoris7676, мыло igoris7676@gmail.com. Тусит на киберфорумах, продает геймерские акки, покупает системы хайдов и парсеры логинов, на половину ссылок по нему Google не пускает, ссылаясь на вредоносное ПО. По дому ходит голым (на этом я решила остановиться))). В таком вот отвлеченном виде он, скорее всего, и украл мой ненаглядный домен. Пользуясь случаем, хочу выразить респект учительнице информатики сельской школы Пайгармы: Вы великий педагог!

А действовал он примерно так: сначала, судя по всему, от него пришел скрипт и снял в спам-базу все имейлы, упомянутые на страницах моего блога. В тот же день на них пришла рассылка с предложением какой-то фигни. Возможно, скрипт пришел позже – остается только гадать. Может быть, юному дарованию просто чем-то понравился блог, или же это был заказ. Информация Whois моего домена, включая email, была в тот момент в открытом доступе (вы же знаете, я блондинка, при этом излишне скромная и уверенная в том, что мой маленький бложег хакерам нафиг не нужен), и малыш эту почту взломал. После этого он, вероятно, запросил восстановление пароля у REG.RU, получил его на ящик, авторизовался в ЛК и отправил заявку от моего имени на передачу домена. Все уведомления, приходящие на почту при данных процедурах, мальчег аккуратно стер, потом зашел в корзину, почистил и ее. Это уже явно вручную. Тут-то я и заподозрила, что это заказ. Есть у меня один способный на многое недоброжелатель, за которым теперь ненавязчиво присматривают соответствующие органы (да, у меня тоже есть связи, и немножко посерьезнее сельских хакеров). Ну а igoris7676 поленился удалить последнее уведомление – то самое, что на скриншоте – и это меня спасло. Иначе я бы узнала о краже домена, только когда сайт бы уже «лежал». А тогда уже было бы поздно пить боржоми. Примите это к сведению, уважаемая учительница информатики села Пайгарма – это Ваша недоработка.

Мне, кстати, до сих пор любопытно: в 8 утра на работу в REG.RU никто не приходит, тикеты не обрабатывает, на письма и звонки не отвечает, а в 5.46 утра кто-то обработал заявку практически мгновенно! Возникают нехорошие мысли о причастности малыша Игориса к этой конторе, а заодно и смутное желание сменить регистратора.

Должна, впрочем, отметить, что когда сотрудники REG.RU все же соблаговолили выйти на работу, они помогли мне очень быстро. Мне объяснили, что мой домен еще лежит в ЛК Игориса7676, но как только мальчег проснется, он может сделать с ним все что угодно, в том числе перепродать, и тогда всё будет очень плохо. Счет, возможно, шел на минуты – никто ведь не знал, во сколько малыш встает по утрам. Мне было велено как можно быстрее прислать заполненное заявление о возврате домена (бланк выслали, его нужно было распечатать, заполнить от руки и отсканировать), плюс сканы двух страниц паспорта – основной и с регистрацией. К счастью, паспорт у меня всегда с собой. К не меньшему счастью, в офисе есть принтер и сканер. Запинаясь, сшибая мебель и коллег, я сделала все что нужно (отдельное спасибо нашему дорогому Витале), перезвонила оператору, и домен торжественно вернули мне уже через пару минут. Любезнейший Николай лично позаботился о моем тикете, заблокировал вора, затеял внутреннее расследование, и все закончилось хорошо. По крайней мере, для меня, уж не знаю насчет Игориса7676.

А если бы мальчег не поленился стереть последнее уведомление? А если бы я не проверяла почту по 10 раз на дню? А если бы я не восприняла уведомление всерьез, приняв-таки за фишинг? А если бы малыш поменял мне все пароли? А если бы он проснулся раньше? А если бы в REG.RU еще сильнее опаздывали на работу? А если бы мой домен был зареган в Америке, где все операторы спали бы еще часов 12? А если бы у меня не было привычки таскать с собой паспорт? А если бы под рукой не оказалось принтера и сканера? А если бы я была в каком-нибудь Таиланде на отдыхе, в конце концов?

В общем, друзья, посмотрите на меня и никогда так не делайте. А делайте лучше вот так:

Для профилактики:

• Настройте двойную верификацию в ЛК своего регистратора. Если такой услуги нет, задумайтесь, нужен ли вам этот регистратор. Проверьте все остальные настройки безопасности – их там много.
• Если ваш акк на сайте доменного регистратора зареган на почту mail.ru, перерегистрируйте его на что-то более надежное, например, gmail.com. Говорят, mail.ru может взломать даже младенец.
• Закройте под Private Person свою Whois информацию. Если хотите, можете оставить контактный email открытым. Но это должен быть НЕ ТОТ email, на который завязан ЛК.
• Проследите, чтобы все пароли были максимально сложными (длинными, с использованием цифр, прописных и заглавных букв) и при этом не совпадали в почте и ЛК (у меня не совпадали, но это не спасло).
• Регулярно проверяйте почту, на которую зареган домен, и внимательно относитесь ко всему, что покажется подозрительным. Если сайт вдруг не удалось открыть, бросайте всё и выясняйте причину. Помните: здесь время решает всё.
• Убедитесь, что вы указали в своем профиле у доменного регистратора паспортные данные и адрес прописки (тот же, что в паспорте). Не волнуйтесь, снаружи это нигде не отобразится, а вот доказать регистратору, что вы – настоящий хозяин домена, будет максимально просто.
• Для самых предусмотрительных: держите в легком доступе сканы паспорта (для физ. лиц) или свидетельства о регистрации юр. лица (если домен оформлен на организацию).
• И главное: не думайте, что с вами такого произойти не может. Я, например, именно так и думала.

В случае кражи:

• Если вам все-таки пришлось столкнуться с кражей домена (это легко узнать по его отсутствию в вашем ЛК, раздел «Мои домены»), не стесняйтесь быть навязчивым и доставайте регистратора всеми возможными и невозможными способами. Будьте готовы назвать свой логин на сайте регистратора и, возможно, номер договора.
• Немедленно поменяйте ВСЕ пароли: к ЛК, админке сайта, почте, FTP, базе данных.
• Если сайт уже «лежит», быстро купите новый домен и перенесите на него сайт на время разборок. Распространите информацию о краже домена везде, где только можно: сайт, соцсети, рассылки, форумы, дружественные ресурсы. Предупредите аудиторию сайта, чтобы не вводила на нем никаких персональных данных до дальнейших оповещений.
• Если момент упущен, и уже поздно возвращать домен по упрощенной схеме (как удалось мне), постарайтесь связаться с новым «владельцем». Для этого просмотрите Whois своего домена – там наверняка появилась новая контактная информация. Это может быть и сам вор, и покупатель, уже успевший перекупить домен у вора. Возможно, вам просто не ответят. Если ответят, варианты могут быть разные:
• Если это новый покупатель, объясните, что домен краденый – нормальному человеку такие заморочки не нужны. Но не удивляйтесь, если он попросит с вас как минимум ту же сумму, что заплатил сам.
• Если ответит вор, спросите, чего он хочет. Возможно, он просто собирается продать домен вам же. Не спешите отказываться. Во-первых, домен вам реально нужен (зря вы, что ли, горбатились, поднимая позиции, зарабатывая авторитет, наращивая тИЦ, PR и проч.). А во-вторых, по предоставленным вором реквизитам его потом можно будет найти. Не ставьте нигде свою подпись – если ее оригинал или скан попадут к вору, вы потом не отмоетесь.
• Параллельно соберите всю инфу, которую смогли накопать на вора, и подайте заявление в отделение полиции, занимающееся кибер-преступлениями. Ненавязчиво сообщите об этом новому «владельцу». Кража домена – уголовное преступление (ст. 272 УК РФ).
• Если вам не удалось связаться с «владельцем» (да и если удалось, тоже не помешает), найдите биржи, где домены выставляют на продажу – нет ли среди них вашего? Если есть, свяжитесь с саппортом биржи, объясните, что домен в угоне, запросите информацию о продавце и попросите заблокировать его. Тут как раз поможет ваше взаимодействие с полицией, т.к. иначе ваши просьбы, скорее всего, проигнорируют.
• Если до кражи вы монетизировали сайт с помощью партнерских программ, известите этих партнеров, чтобы они заблокировали ваши аккаунты, помешав вору зарабатывать на вашем сайте.

В общем, будьте максимально активны и дайте вору понять, что просто так не сдадитесь. Возможно, он просто побоится продавать домен такого беспокойного хозяина. А там, глядишь, и помощь подойдет.

Автор: Полина Белецкая