О том, как у меня украли домен, а я украл его обратно

:

Уважаемые хабравчане! Истории, одна из которых произошла со мной, случаются сплошь и рядом, вот только концовка в моем случае довольно редкая.
По определенным соображениям в данной статье я не буду указывать домен и имя реселлера. Тех, кто сможет их опознать, убедительно прошу в комментариях не обнародовать.

Случилось это в октябре 2010 года. За полгода до этого – в начале мая – мной без перерегистрации был куплен сайт, благо все указывало на то, что мой продавец уже пятый или шестой его владелец. Цена сделки составила 24 тыс. рублей. Я получил:
-логин/пароль к администраторской панели реселлера домена;
-пароль к почтовому ящику xxx@mail.ru;
-логин/пароль доступа к аккаунту firstvds.ru, на котором и находился сайт;
-логин/пароль доступа к администраторской части CMS Wordpress.

С момента покупки прошло около полугода, все шло своим чередом, как однажды в конце сентября мне на почту пришло сообщение о восстановлении пароля к Wordpress. Очень быстро я обнаружил, что доступа к почтовому ящику xxx@mail.ru и админке реселлера домена у меня больше нет. Посмотрев соответствующие записи на корневых ns-серверах, я увидел, что указатели моего домена уже ссылаются на другой хостинг – vds64.com. Ответ на то, как такое могло произойти, пришел очень быстро: я не удосужился изменить параметры восстановления для ящика xxx@mail.ru (секретный вопрос и номер телефона), и некто, использовав их, забрал себе также и доступ к админке реселлера, так как она была завязана на данный почтовый ящик. Все, что осталось – доступ к аккаунту хостера, поскольку там я все же поменял контактный почтовый адрес. На тот момент это не имело никакого значения, однако, забегая вперед, скажу, что именно это меня и спасло. Не могло быть никаких сомнений в том, что этот некто – не кто иной, как мой продавец. Как назло, узнал я обо всем этом в свой день рождения.

Проведя пару дней в понятно каких размышлениях о самом себе, я зашел на один очень известный форум, на котором статус Silver Member и регистрация практически с начала его основания предполагает определенный уровень доверия ко мне, и вышел на человека, оказывающего услуги по… Скажем так: по восстановлению доступа к украденным почтовым ящикам. Дня через три мой новый знакомый меня удивил, сообщив мне текущий пароль от украденного почтового ящика. Цена вопроса составила 1500 WMR.

Воодушевленный тем, как быстро все разрешилось, я зашел в почту и отправился восстанавливать доступ к админке реселлера. Тут меня постигло большое разочарование: для получения пароля необходимо знать ответ на секретный вопрос, которого у меня не было…
При исследовании почтового ящика я обнаружил, что он старательно подчищен: исходящих писем не было вообще, во входящих было письмо от реселлера со ссылкой на восстановление пароля, которая, естественно, уже не работала, а также созданный тикет на вопрос моего продавца о том, почему измененные ns-серверы до сих пор не применились. В процитированном в тикете вопросе моим продавцом было указано кодовое слово. Опять забегая вперед, скажу, что это стало его первой стратегической ошибкой.

Также в ящике было письмо администрации биржи Sape с просьбой напомнить логин в их системе, при этом рассказывалась история о том, что, используя сохранение аккаунтов в браузере Opera, в результате сбоя эти данные потерялись. Из этого я сделал вывод о том, что мой продавец довольно молод, если использует подобную «социальную инженерию», не понимая, что тем самым только отнимает у техподдержки время.
Прошло один-два дня, и во whois-данных домена я увидел уже другой регистрационный почтовый адрес. Привожу его как есть: babuwkamisha@gmail.com. Вероятно, мой продавец обнаружил факт потери ящика на mail.ru и перенес домен на другой аккаунт у реселлера.

Немного отвлекусь и вкратце опишу политику безопасности реселлера: логин является почтовым адресом, который может не совпадать с адресом из whois, имеется кодовое слово для общения с техподдержкой и секретный вопрос для восстановления пароля. Общение с реселлером должно происходить с почтового адреса-логина, за который и развернется борьба.

Зайдя на страницу восстановления пароля у реселлера, я указал новый почтовый ящик и получил предложение ответить на секретный вопрос. Это означало, что аккаунт с данным адресом у реселлера существует, и мой домен скорее всего находится в нем.

Я вновь обратился к моему новому знакомому:
-Ящик на gmail?
-Беру в работу.

Каково же было мое удивление, когда через три дня я снова получил текущий пароль теперь уже от ящика на Gmail. О методе «взлома» я напишу в примечании. Цена вопроса составила 80 WMZ.

Должен сказать, что заказывая эту вторую работу, мои надежды на успех уже были близки к нули, ибо, как я описывал выше, доступа к почте недостаточно для восстановления контроля над доменом. Как я и предполагал, ящик был девственно чист…

От нечего делать я попробовал войти в админку Wordpress с полученным паролем. И, о чудо, пароль подошел! К сожалению, администраторская часть реселлера в тот момент не работала. Реселлер объяснял это аварией в датацентре. Не могу выразить, с каким нетерпением я ждал восстановления ее работы. Произошло это через сутки, пароль подошел, я сменил его на новый, поменял dns-серверы у реселлера, реквизиты восстановления в почтовом ящике Gmail и довольный лег спать.

Проснувшись утром, я обнаружил, что доступа к ящику и домену у меня снова нет. Что за черт!..
От безысходности зашел на страницу восстановления аккаунта Google. Хочу сказать, что в отличие от Mail.ru, данная служба работает и весьма оперативно. Немного отвлекусь и скажу о ней пару слов: попав в почтовый ящик, человек получает практически неограниченные данные для восстановления доступа к нему. Мало того, если вы недавно поменяли пароль, то человеку, знающему предыдущий пароль, может быть достаточно одного взгляда на ваш монитор, чтобы забрать себе ваш почтовый ящик навсегда.

Итак, примерно через час я получил ссылку от Google на восстановление доступа.

В админке реселлера был уже другой неизвестный мне пароль, и для его получения мне было необходимо узнать ответ на секретный вопрос. Я написал письмо в техподдержку реселлера с просьбой «напомнить» его, указав наудачу известное мне кодовое слово из предыдущего аккаунта, после чего реселлер любезно сообщил мне, что «мой любимый город» — это Марсель. Таким образом, мой продавец не удосужился поменять кодовое слово на новом аккаунте, и это стало его второй стратегической ошибкой.

Я опять изменил все реквизиты в админке реселлера, в основном — dns-серверы, так как почтовый ящик менять нельзя. После этого мой продавец, который, по данным Gmail, находился на Украине, и появлялся в Сети исключительно ночью, снова забрал его себе таким же способом.

Это перетаскивание ящика друг к другу продолжалось три дня.

Дальнейшие действия были очевидны: необходимо было перенести домен на новый аккаунт, на котором логин-емейл не будут совпадать с данными из whois. Проблема была в том, что домен переносился неделю назад, а у реселлера существует 30-суточное ограничение на повторный перенос.

Шел третий день моего владения почтовым ящиком, было около 19 часов. Незадолго до этого я закинул в аккаунт 80 рублей, чтобы «отметить» в нем свой кошелек, так как номер кошелька плательщика является важным элементом политики безопасности реселлера. Вдруг меня осенило, что оставшиеся три недели я могу не протянуть: к моменту переноса доступа к ящику у меня может уже не быть. Я написал письмо реселлеру со своими подозрениями о том, что кто-то пользуется моей почтой (что, собственно, так и было, хотя ящик был не совсем мой) и попросил снять временное ограничение. Через час мне сообщили, что ограничение снято, и я, используя пароль и кодовое слово, очень быстро перенес домен на заранее заготовленный аккаунт. И весьма вовремя: с того момента ссылок на восстановление доступа к ящику я от Google не получал. Помимо прочего, я закинул в новый аккаунт 500 руб. и продлил домен, благо срок продления заканчивался через месяц-другой.

Вечером мой продавец снова получил доступ к почтовому ящику, потом к админке реселлера, зашел в нее и… не обнаружил там своего моего домена. Полагаю, в этот момент его охватила паника, потому как в восстановленном ящике он забыл убрать пересылку на другой мой адрес, благодаря чему я получил возможность читать всю его переписку с реселлером. Осознав, какое счастье мне привалило, ибо, как известно, кто владеет информацией – тот владеет миром, и увидев его первое письмо, я расхохотался. Вот оно (читать следует снизу вверх, так как письмо реселлера – это ответ на предыдущее письмо моего продавца):

Здравствуйте,
Для переноса домена необходимо знать кодовое слово. Получается злоумышленник знал Ваше кодовое слово?
С какого кошелька Вы пополняли свой баланс у нас?

>06.10.2010 22:35 — Михаил Бабушкин написал(а):
>Клиент Михаил Бабушкин с e-mail адресом babuwkamisha@gmail.com обращается с
>вопросом:

>Доброго времени суток.
>Недавно купил без переоформления домен xxx.ru у Сергея Семенова. Кодовое
>слово: xxx. Секретный вопрос: Ваш любимый город, ответ: Марсель.
>Я перенёс на свой ящик этот домен: babuwkamisha@gmail.com. Но пару дней назад у
>меня украли мыло путём фишинг вороства паролей и получили полный доступ как к
>мылу, так и к админке домена, и поменяли DNS сервера на свои какие-то. Сегодня я
>через Google восстановил доступ к емайлу своему, и вот уже восстановил доступ к
>админ.панели рег.ру, но домена тут уже не обнаружил. Как отследить куда был
>перенесён домен и как его вернуть? Заранее спасибо.

Письмо явно писалось в большой спешке.
Сразу после этого той же ночью реселлер написал мне вопрос:

Здравствуйте!
Не согли бы Вы пояснить происхождение домена XXX.RU на Вашем аккаунте?
Вы владелец данного домена?
На Ваше право владения этим доменом поступила претензия.

Я ответил, что мой почтовый ящик украден со всем его содержимым. А также то, что купил домен полгода назад за 800$, что все это время он находился на сервере FirstVDS, оплачивался с моего кошелька, и я могу это доказать.
Далее последовало продолжение переписки моего продавца:

Здравствуйте,
Сколько Вы заплатили за домен при покупке? Я эту сумму узнал.
Этот домен прикреплен к FirstVDS аж с 7 мая и до сих пор. Т.е. злоумышленник получается домен никуда не прикреплял. У Вас есть доступ к аккаунту на FirstVDS? Домен получается все время прикреплен к одному и тому же хостингу. Если Вы и есть его законный владелец, для Вас не составит труда сделать на сайте какую-нибудь тестовую страничку и разместить там подтверждающий текст.

>07.10.2010 00:35 — Babuwka Misha написал(а):
>У меня на почтовом ящике во входящих было письмо от продавца со всеми данными к домену.
>Было оно с емайла: xxx-ru@mail.ru
>И содержалось в этом письме различная информация о сайте (вот кусок из письма):
— >Доступ к админке wordpress
— >http://www.xxx.ru/wp-login.php
>Логин: admin
>Пароль: xxx
>https://реселлер
>Кодовое слово: xxx
>Любимый город? Марсель
>Я точно такое же кодовое слово и секретный вопрос заполнил в своём аккаунте, чтоб не забыть, когда
>перенёс домен с xxx-ru@mail.ru на свой аккаунт gmail. Видимо имея доступ к моему email-у и ко
>входящим письмам узнали кодовое слово и ответ на секретный вопрос.
>Пополнение счёта на 80 руб. осуществил не я. Я конечно собирался в скором времени продлить домен,
>так как по-моему 21 ноября заканчивается срок домена, но денег ни разу в вашу систему не заводил,
>то есть вот эти 80 руб можете аннулировать, это не из моего кошелька.
>И ещё информация о данном домене, которую мне предоставил Сергей Семенов:
>--------------------------------------------------
>ДОМЕН
>--------------------------------------------------
>http://реселлерxxx2@mail.ru
>старый PassWord: xxx
>новый пароль: xxx
>То есть изначально был домен зарегистрирован на xxx2@mail.ru, затем уже Сергей во время
>продажи переносил его на xxx-ru@mail.ru. А я уже после этого перенёс его в 20-х числах сентября на
>babuwkamisha@gmail.com. Такая информация я думаю врядли найдётся у злоумышленника, если Вы его >спросите относительно данного домена.
>В письме-ответе хочеться услышать, какие действия теперь я могу осуществить или же я потерял
>этот домен навсегда?

Следующее письмо:

Здравствуйте,
Вы же в пером письме писали, что у Вас украли email babuwkamisha@gmail.com…
А сейчас уже пишете про xxx@mail.ru

>07.10.2010 20:10 — Babuwka Misha написал(а):
>Да хостинг этого домена прикреплён к firstvds.ru изначально, и доступ у меня к нему был через мыло
>xxx@mail.ru, как и доступ ко всему отстальному, и всё нормально было раньше до того момента,
>пока месть мыло xxx@mail.ru у меня не угнали.
>Доступ к firstvds получить тоже немогу из-за того, что там поменяли пароль, а аккаунт firstvds
>прикреплён к тому мылу xxx@mail.ru.Отсюда и начались все проблемы. То мыло я вернуть не могу,
>и именно поэтому я начал недавно переносить домен из одного аккаунта на Вашем сайте на другой
>аккаунт. Зная секретный вопрос и кодовое слово я это легко сделал в конце сентября. И именно из-за
>потери хостинга на firstvds я совсем недавно и купил новый VDS на vds64.com, во-первых он и быстрее
>работает (технические характеристики сервера лучше), во-вторых я там настроил, чтоб доступ
>можно было восстановить в любое время с моего мобильного телефона, так как безопасность сейчас
>очень необходима мне.
>В админке домена после переноса я совсем недавно перебивал DNS (или NS, не знаю как правильно) на
>вот этот новый свой купленный VDS (ns1.vds64.com и ns2.vds64.com). А злоумышленник похитив снова
>домен опять прикрепил его к старому firstvds, доступ к которому у него есть.

Представьте себе реакцию сотрудника техподдержки, который постепенно узнает о том, что у клиента украли два почтовых ящика в двух разных системах, секретный ответ и кодовое слово, т.е. украли все и вся. Самое смешное, что именно так все и было.

Здравствуйте,
Вы так и не ответили, за сколько Вы купили этот домен?

>07.10.2010 21:20 — Babuwka Misha написал(а):
>И тот украли и новый емайл. Но этот из-за того что я его создавал сам, благодаря службам Google я 3
>раза уже восстановливал и снова терял это мыло. Покаместь вчера не поставил от Google — программу
>PC Tools Spyware Doctor. У меня на ноутбуке и на PC обнаружена была одна и та же угроза:
>Trackware.TrackingCookies. Всё из-за этой инфекции.

Далее.

Здравствуйте,
У вас остался контакт с владельцем домена у кого Вы его покупали?

>07.10.2010 22:15 — Babuwka Misha написал(а):
>за 800$.

Еще письмо:

Здравствуйте,

У Вас есть подтверждение процесса покупки данного домена?

>08.10.2010 00:10 — Babuwka Misha написал(а):
>Никакого контакта не осталось. Он когда продавал, говорил, что уходит в оффлайн бизнес, то ли
>автомастерскую открывает то ли ещё что-то. Его нет больше ни вконтакте ни т.д.

Должен сказать, что некоторое время у меня были подозрения, что данный субъект – это бедолага, которому мой продавец только что еще раз продал домен. Однако, со временем сомнения рассеялись: все та же детская «социальная инженерия», безусловно, – это мой продавец. К тому же, часть информации и весьма редкий для моего слуха термин «оффлайн бизнес» я уже слышал при покупке по icq.
После этого реселлер предложил мне прислать скрины Кипера и биллинга FirstVDS для подтверждения покупки и оплаты хостинга в течение последних шести месяцев. Мне показалось странным, что реселлер решил пуститься в эти выяснения, так как домен был перенесен согласно всех правил всем правилам. Впрочем, это было даже лучше – все «козыри» были у меня. Я отослал требуемые данные.

Здравствуйте,
Как Вы платили за хостинг FirstVDS когда он еще был подконтролен Вам?

>08.10.2010 00:45 — Babuwka Misha написал(а):
>Нет. Я покупал налом, но при этом получил полный доступ без переоформления домена.

После этого письма мой продавец пропал и больше я о нем ничего не слышал. Периодически я посылал ему письма, замаскированные под спам, чтобы проверить, работает ли пересылка ко мне. Она включена до сих пор.

Было бы очень интересно узнать, что подумали об этой истории в техподдержке реселлера: вероятно, они решили, что мы поругались и после этого подрались за домен.

Примечание: думаю, мой продавец был прав, и аккаунт Google был действительно «взломан» посредством фишинговой ссылки. Имея доступ к ящику, я получил письмо от некоего Urals Bank, где мне высылались «мои новые реквизиты» с вложенным документом. Присмотревшись, я заметил, что «вложение» на самом деле находится в теле письма и просто стилизовано под вложение. При переходе по ссылке «загрузить» я попал на копию начальной страницы Gmail. Это должно было навести меня на мысль о том, что сессия сбросилась по таймауту, и необходимо авторизоваться заново. Адрес ссылки был очень длинным, в нем присутствовало слово «google», но, естественно, не на втором уровне. Вероятно, на одно из таких писем мой продавец и попался.

Спасибо, что прочитали мою статью. Надеюсь, она кажется для вас интересной и полезной.

UPD. В этой истории мне показалось странным следующее:
1. Реселлер не ведет длительных IP-логов для своей админки, иначе украинская прописка первоначального владельца была бы очевидной.
2. Реселлер не ведет логов смены ns-серверов, и о том, что они указывали на Firstvds.ru, он узнал от меня. Хотя до кражи я размещал домен еще у одного провайдера.
3. И самое странное: примерно в описанный период домен перешел в статус Verified. Это значит, что кто-то прислал регистратору сканы своего паспорта. Человек этот не объявился до сих пор.

На ящик babuwkamisha@gmail.com до сих пор приходят письма: спам из вконтакте, информация о регистрации нового доменного имени. Мой продавец разместил копию моего сайта на другом домене и не знает, что в следующий апдейт зеркальщика его сайт, согласно robots.txt, станет зеркалом моего. Интересно, читает ли он хабр?

И еще по поводу отсутствия перерегистрации: риск был заложен в цене сайта, она была для него явно занижена. К тому же очевидно, что мой продавец формальным владельцем не является и с ним не знаком.