Ольга Баскакова
руководитель проектов Координационного центра доменов .RU/.РФ
Координационный центр доменов .RU/.РФ — администратор национальных доменов России. И кроме разработки регламентирующих документов, аккредитации регистраторов, технологического развития инфраструктуры доменов .RU и .РФ также активно участвует в обеспечении безопасности в российских доменных зонах. Расскажите, пожалуйста, в чем проявляется это участие?
Координационный центр поддерживает различные инициативы, направленные на борьбу c противоправными ресурсами и обеспечение безопасности пользователей в российском доменном пространстве.
Так, в 2012 году Координационный центр внедрил практику взаимодействия с организациями, компетентными в определении нарушений в сети Интернет. Такие организации обладают необходимыми знаниями и навыками для выявления в сети ресурсов с противоправным контентом, сбора и предоставления информации о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .РФ и .RU. Эти организации, сейчас их 10, наделены Координационным центром правом направлять аккредитованным регистраторам требования о прекращении делегирования доменных имен для подобных ресурсов. В свою очередь, регистраторы, руководствуясь Правилами регистрации доменных имен в доменах .RU и .РФ, вправе прекратить делегирование доменных имен по запросам компетентных организаций.
Витриной для института компетентных организаций, созданного Координационным центром, стал проект «Доменный патруль». Он заработал в августе 2020 года. На сайте проекта собраны: новости интернет-безопасности, информация о киберугрозах, инструкции, как поступить, если пользователь столкнулся с одной из таких угроз, скажем, с мошенничеством, и главное – перечень Горячих линий компетентных организаций. Любой пользователь может обратиться на Линию и сообщить об обнаруженном им случае неподобающего использования доменного имени, меры будут приняты оперативно.
Для профессиональной аудитории, к которой мы относим собственно компетентные организации и аккредитованных регистраторов доменных имен, «Доменный патруль» стал платформой для оперативного обмена запросами о прекращении или, наоборот, восстановлении делегирования доменных имен.
Также с 2012 года существует проект «Нетоскоп». Это первый в России информационно-аналитический ресурс, посвященный информационной безопасности в доменном пространстве. В рамках проекта была разработана специальная платформа, с помощью которой участники проекта могут обмениваться информацией и совершенствовать свои алгоритмы поиска «зловредных» ресурсов. Посетителям сайта доступен онлайн-сервис по проверке доменных имен на использование в «зловредной» активности, зафиксированной компаниями-участниками проекта.
И, безусловно, Координационный центр не остался безучастным к проблемам, которые возникли в доменном пространстве в связи с пандемией COVID-19. Любые кризисные ситуации влияют на поведение людей, и на волне общей нервозности поднимают голову разного рода злоумышленники. Все-таки ранее прецедентов подобного масштаба не было, и трудно было спрогнозировать, кто и каким образом захочет воспользоваться ситуацией в доменном пространстве. С первых дней эскалации кризиса Координационный центр инициировал мониторинг COVID-ассоциированных регистраций новых имен в доменах .RU и .РФ. Задача этого мониторинга – выявить потенциально опасные ресурсы (например, те, которые могли бы использоваться для фишинга или распространения вредоносного ПО) и снизить возможный вред от них с помощью наших «патрульных», т.е. уже упомянутых компетентных организаций.
Какой «улов» у компетентных организаций был в 2020 году? С какими интернет-угрозами к специалистам обращались чаще всего?
В 2020 году в рамках «Доменного патруля» компетентные организации направили аккредитованным регистраторам более 10 тысяч запросов на прекращение делегирования доменных имен в .RU и .РФ. Эти данные почти на 40% выше тех, с которыми мы закончили 2019 год.
Почти 90% запросов были связаны с доменами, которые вели на фишинговые ресурсы. Специалисты по кибербезопасности хорошо знают, что фишинговый сайт существует не более суток, а основной поток пользователей попадает на него в течение нескольких часов. Поэтому крайне важно, чтобы меры по прекращению доступа к ресурсу были приняты быстро. В рамках проекта «Доменный патруль» взаимодействие экспертов и аккредитованных регистраторов отработано на отлично, и скоординированность действий всех сторон позволяет значительно сокращать число жертв сетевых мошенников.
Столь же важно быстрое реагирование в отношении других категорий нарушений. Например, ресурсов с порнографическими изображениями несовершеннолетних. В рамка своих полномочий, как администратор национальных доменов верхнего уровня, Координационный центр и дальше будет делать всё возможное, чтобы не позволить злоумышленникам использовать национальное доменное пространство в преступных целях.
Ольга, вы уже упомянули, что институт компетентных организаций был задействован Координационным центром в проверке на «зловредность» COVID-ассоциированных доменов .RU/.РФ. Какие доменные имена вошли в эту «категорию»?
Для мониторинга мы использовали записанные на латинице и кириллице ключевые слова, так или иначе связанные с темой коронавируса. Это не только общие слова, типа «pandemia», но также название вируса в разных вариациях (например, «corona», «ковид», «covid19») и слова, связанные с мерами по сдерживанию пандемии и поддержке пострадавших от нее, т.е. «vyplata», «вакцина» и т.п.
В середине мая было объявлено о выплатах пособий семьям с детьми, а в сентябре – о регистрации вакцины, и мы сразу заметили эффект в рамках нашего мониторинга. Интерес злоумышленников к этим темам был кратковременным, но ведь даже 1-2 ресурса могли нанести ощутимый удар по крайне уязвимым категориям пользователей.
Список подозрительных доменных имен мы передавали нашим «патрульным», компетентным организациям, для подтверждения фактов их использования для противоправных целей и принятия соответствующих мер, например, блокировки или установки флага «угроза потеря данных» в антивирусных продуктах.
Нам очень повезло, что к этому моменту у нас уже была выстроена и много раз проверена в «бою» схема взаимодействия с компетентными организациями – в 2020-м она еще раз доказала свою эффективность.
Сколько таких, коронавирусных, доменов удалось выявить за год?
За год в список «коронадоменов» было добавлено 4907 доменных имен в .RU и 984 в .РФ; в общей сложности к концу 2020 года в российских доменных зонах насчитывался 5891 домен, тематически связанный с пандемией.
Максимальное число «коронарегистраций» было зафиксировано в марте и апреле прошлого года – 1936 и 1555 доменных имен соответственно. Менее всего такими доменами пользователи интересовались в январе и сентябре 2020 года: тогда российские доменные зоны пополнились 90 и 120 коронавирусными доменами соответственно.
«Лаборатория Касперского», входящая в состав института компетентных организаций, установила в своих продуктах флаг «угроза потери данных» для 1901 «коронадомена» за год: 1600 в .RU и 301 в .РФ – это около 32% от общего количества коронавирусных доменных имен. Установка такого флага означает, что все устройства, защищенные антивирусом «Лаборатории», получат информацию об этих доменных именах и предупредят пользователей, которые заходят на них, о возможной угрозе.
Кстати, мы продолжим мониторинг COVID-ассоциированных доменов и в 2021 году. Следить за отчетами можно на сайте «Доменного патруля» или Координационного центра в разделе «Медиацентр».
Почему важно следить за подобными, событийными, регистрациями?
Как я уже говорила, смутные времена порождают волны мошенников. Вынужденный переход в онлайн приводит на просторы сети неподготовленных пользователей. К сожалению, многие из них, например, люди старшего поколения, недостаточно хорошо знакомы с правилами интернет-безопасности, на что и рассчитывают мошенники, создавая свои ресурсы. А мы, зная это, должны делать всё возможное, чтобы защитить пользователей от кражи персональных или банковских данных, от ложной информации, вредоносного ПО и т.д.
Как, например, мошенники подстроились под конкретную ситуацию с COVID-19: их методы не изменились, но сместились болевые точки. Если в мирное время пользователи попадались на фальшивые авиабилеты или интернет-магазины, то в пандемийное – на несуществующее COVID-тестирование или обещание неких компенсаций. Эксплуатирование страха смерти или тяжелых заболеваний – низкий, но, к сожалению, эффективный способ обмана. Поэтому мы и продолжаем «патрулирование» национального доменного пространства и сотрудничество с нашими компетентными организациями и экспертами по кибербезопасности – для поиска новых эффективных способов противостояния злу в сетевом мире.
Очень важный, связанный с безопасностью, момент. «Патруль» на страже, и эксперты в области кибербезопасности реально работают круглосуточно, но взваливать все беды на их плечи неправильно. Безопасность начинается с нас самих – призываю каждого к бдительности: лучше семь раз подумать и один раз сделать платеж (или отказаться от ввода данных карты на непроверенном ресурсе), чем беспечно его провести и лишиться сбережений.
И мы стараемся просвещать пользователей по вопросам безопасного использования веб-ресурсов. Например, в рамках интерактивного проекта «Изучи интернет – управляй им», где устройство интернета и цифровых технологий можно изучать с помощью игр. Несколько игровых модулей проекта как раз посвящены теме безопасности: охране персональных данных, фишингу, защите от разнообразных интернет-угроз.
А еще Координационный центр инициировал создание домена .ДЕТИ – доменной зоны для сайтов детской и подростковой тематики; все сайты с адресом в .ДЕТИ подключены к системе мониторинга, которая помогает оперативно выявлять негативный контент и «зловреды» на детских сайтах.
А участвует ли Координационный центр в международных проектах, связанных с доменной безопасностью?
Да, конечно. Среди свежих примеров международного сотрудничества – как раз мониторинг коронадоменов. Координационный центр как участник Ассоциации европейских регистратур CENTR и Азиатско-тихоокеанской ассоциации доменов верхнего уровня APTLD обменивается передовым опытом, в том числе и по борьбе с противоправными ресурсами, с регистратурами других стран на регулярных административных, технических, юридических офлайн- и онлайн-слетах.
Специалисты Координационного центра также участвуют с собственной повесткой на международных мероприятиях и отдельных сессиях, связанных с темой цифровой безопасности. Например, в Международном форуме по проблемам международной информационной безопасности, который проходит в Гармиш-Партенкирхене (Германия), в конференциях Международного союза электросвязи и корпорации ICANN, управляющей адресным пространством интернета, в форумах Евразийской группы сетевых операторов ENOG и сетевого координационного центра RIPE, в глобальном Форуме по управлению интернетом и многих других событиях.
В этом году на «Инфофоруме» Координационный центр представил «Азбуку доменной безопасности», кому она пригодится?
Это памятка для администраторов доменных имен: в ней собраны главные советы, о чем нужно помнить и на что обращать внимание, чтобы защитить свое доменное имя и связанные с ним данные.
В этой памятке есть очевидные правила, которые несмотря на это очень часто не соблюдаются пользователями, например: «Будьте предельно бдительны при работе с панелью управления доменным именем, не раскрывайте свои авторизационные данные третьим лицам».
А есть и специфические советы: «Критично относитесь к письмам продлить срок регистрации доменного имени, обращайте внимание на адрес отправителя и указанную контактную информацию». Это важно перепроверять, т.к. кибермошенники нередко выдают себя за регистраторов, отправляя владельцам доменных имен ложные письма об истечении срока их регистрации и необходимости срочного продления. Если отнестись к этому невнимательно, то можно оказаться на крючке мошенника: вы лишитесь домена, а ваш сайт – имени, адреса в интернете.
Всем, кто не смог посетить «Инфофорум» и получить «Азбуку доменной безопасности», мы предлагаем зайти на сайт «Доменного патруля», где она доступна в электронном виде.
