Хотелска domain сигурност: Как да се предпазите от typosquatting атаки?

Миналата година бутиков хотел, работещ в Анталия, се обърна към нас с доста притеснителен проблем. Някои от гостите им не намираха стаи в хотела, въпреки че мислеха, че са направили резервация. Когато започна разследването, разкритата картина беше изненадваща: през фалшив domain с добавена излишна буква "a" в края на името на хотела са били извършвани фалшиви резервационни транзакции и жертвите са платили реални пари на фалшивия сайт.

Този случай за пореден път показа колко сериозни последици могат да имат typosquatting атаките, които се разпространяват бързо в хотелиерския сектор. Ставаше въпрос както за финансови загуби на гостите, така и за уронване на репутацията на хотела; въпреки че хотелът беше напълно извън този процес.

Typosquatting е метод за измама на потребителите чрез регистриране на версии на domain името на легитимен уебсайт, които са умишлено изписани неправилно или са създадени с малки промени. Нападателите се възползват от малките печатни грешки, които хората могат да направят, докато пишат в адресната лента, или от фините промени, които могат да бъдат пренебрегнати.

Хотелиерският сектор е особено привлекателна мишена за този тип атаки. Има няколко основни причини за това. Първо, хотелските резервации често включват големи суми и гостите споделят информация за кредитни карти при плащане. Второ, много гости приемат сайт, който изглежда „официален“ за хотела, за достатъчна гаранция и не го проверяват подробно. Трето, хотелските марки, благодарение на своята разпознаваемост, привличат повече органичен трафик към фалшивите сайтове.

Нашето проучване показа, че при повече от шестдесет процента от над 500 хотелски марки, работещи в Турция, съществува поне един регистриран фалшив domain, който има голяма прилика с марката.

Нападателите са разработили различни методи през годините. Разпознаването им е първата стъпка към разбирането на това какви варианти на вашата собствена марка са застрашени.

Това е най-простият метод. Докато "hillsidebeachclub.com" е правилното изписване, версии като "hillsidebeachclubb.com" или "hilsidebeachclub.com" съдържат малки разлики, които потребителите лесно могат да пропуснат. Експертите в сектора посочват, че по-голямата част от тези domain имена са структурирани така, че автоматично да пренасочват към страницата на нападателя, когато потребителят направи правописна грешка.

Често се използват визуално подобни букви. Малка буква "l" вместо голяма "I", числото нула вместо буквата "o" или обратното, комбинацията "rn" вместо "m" – такива промени водят до сайтове, които е трудно да бъдат различени на пръв поглед. Особено на мобилни устройства малките екрани крият тези разлики още повече.

Вместо "oteladi.com" се създават domain имена като "oteladibodrum.com", "oteladirezervasyon.com" или "oteladifiyat.com". Този подход е особено опасен, тъй като потребителите могат да намерят такива разширения за напълно разумни.

Докато съществува версия на оригиналния сайт, използваща разширението ".com", нападателят регистрира domain със същото или подобно име с различни разширения като ".net", ".org", ".co", ".tr", ".online". В опита на един наш клиент се оказа, че докато легитимният domain е с разширение ".com.tr", нападателите са регистрирали ".com" версията на същото име много по-рано и активно са я използвали.

Разликата между "grandhotel.com" и "grand-hotel.com" или "grand-hotel.com" и "grandhotel.com" може да остане незабележима за много потребители.

Това е по-напреднал метод. Буквите в други азбуки са визуално почти идентични с латинските букви. Буквата "а" в кирилицата и буквата "a" в латинската азбука са трудни за различаване една от друга, дори ако ги погледнете една до друга в браузъра. Domain имената, създадени с тази техника, се кодират като Punycode и въпреки че всъщност съдържат напълно различни знаци, те изглеждат еднакви в очите на потребителя.

Веригата на атаката обикновено се състои от следните стъпки:

1. Регистрация на domain: Нападателят анализира domain името на целевия хотел и регистрира няколко различни typosquatting версии. Цената на този процес е около 10-15 долара годишно.

2. Инсталиране на фалшив сайт: Визията на истинския хотелски сайт се копира (включително лого, снимки, информация за стаите). С модерните инструменти този процес може да приключи за няколко часа.

3. Получаване на SSL сертификат: Благодарение на безплатни доставчици на сертификати като Let's Encrypt, към фалшивия сайт се добавят HTTPS и иконата на катинар. Това служи за по-лесно спечелване на доверието на потребителите.

4. Насочване на трафик: Фалшивият сайт се популяризира чрез Google Ads или реклами в социалните мрежи, или се изпращат spam съобщения директно до списъци с гости.

5. Събиране на плащания: Потребителите правят резервация и прехвърлят реална информация за кредитни карти и плащания към фалшивия сайт.

6. Изчезване: Когато оплакванията започнат да се увеличават, сайтът се затваря и платените пари не могат да бъдат върнати.

Ако е започнала атака срещу вашия бизнес, някои знаци може да привлекат вниманието ви:

• Гости, които идват за настаняване в хотела, въпреки че не са направили резервация
• Оплаквания в социалните мрежи от типа "платих на вашия сайт, но нямам резервация"
• Съмнителни рекламни резултати, които се появяват, когато търсите името на вашата марка в Google
• Появата на непознат domain като referrer в Google Search Console

Нашето проучване показа, че по-голямата част от хотелските мениджъри научават за съществуването на такива атаки едва след като пристигнат оплаквания от гостите. Въпреки това, с проактивен мониторинг е възможно атаките да бъдат открити преди да започнат или точно когато започват.

Регистрирането на най-често срещаните варианти, по които марката ви може да бъде изписана, е най-сигурният начин да защитите тези варианти от достъпа на нападателите. Пренасочете тези domain имена, които държите, към основния си сайт; по този начин, дори потребителят да напише грешен адрес, той ще достигне до правилния сайт.

Разбира се, купуването на всеки възможен вариант е както скъпо, така и практически невъзможно. Поради тази причина трябва да се даде приоритет на най-критичните варианти (най-честите правописни грешки, различни разширения, добавяне на имена на региони).

Инструменти като DNSTwist и подобни генерират всички възможни грешно изписани версии на едно domain име и проверяват дали са регистрирани. Редовното стартиране на тези инструменти ви позволява да откривате рано новорегистрирани опасни domain имена.

Експертите в сектора препоръчват това сканиране да се прави поне веднъж седмично. По-голямата част от заплахите стават активни в първите няколко дни след регистрацията на domain името.

Създайте сигнали в Google Alerts за различни варианти на името на вашия хотел. Можете да бъдете информирани чрез тези сигнали, когато фалшив сайт започне да се индексира в търсачките.

Когато се получи SSL сертификат за фалшив сайт, тази информация се записва в CT логовете. Чрез проследяване на тези логове можете да откриете нови сертификати, подобни на вашата марка. За да научите по-подробно как работят SSL сертификатите и как да следите CT логовете, прочетете нашата статия за Мониторинг на Certificate Transparency логове.

Когато откриете typosquatting domain, можете да поискате трансфер на domain името, като използвате механизма на ICANN Uniform Domain-Name Dispute-Resolution Policy (UDRP). За стъпките как да проведете правния процес срещу фалшиви сайтове в Турция, препоръчваме да прегледате нашата статия „Правен процес срещу фалшиви хотелски сайтове“.

Когато откриете фалшив domain, следвайте тези стъпки:

1. Запазете всички доказателства, включително екранни снимки, WHOIS запис и информация за сертификата
2. Изпратете уведомление за злоупотреба (abuse) до компанията за регистрация на domain (registrar)
3. Ако използва Cloudflare, изпратете уведомление и до Cloudflare
4. Изпратете уведомление за фалшив сайт (Safe Browsing) до Google
5. Изпратете уведомление до BTK и USOM
6. Ако е необходимо, подайте жалба в Прокуратурата

Цифрите, които получихме в проучването, което проведохме върху хотелските марки в Турция, ясно разкриват колко разпространен е проблемът.

При 64% от 312-те хотелски марки, които проучихме, открихме поне един активен или пасивен typosquatting domain, който носи голяма прилика с името на марката. 40% от тези domain имена се използваха активно като фалшиви страници за резервации. По-голямата част от останалите бяха „паркирани“ domain имена, които можеха да бъдат активирани в бъдеще.

Сезонен пик: Периодът, в който най-интензивно се създават фалшиви сайтове, е между април и юни — началото на летния сезон за резервации. В този период цифрите за регистрация на domain имена показват увеличение от 70% в сравнение с другите месеци.

Модели на насочване: В нашето проучване установихме, че нападателите не избират цели на случаен принцип, а според определени критерии. Особено:

• Хотели, които са направили големи инвестиции през последните две години и чиято видимост в медиите се е увеличила
• Бутикови хотели с голям брой последователи в социалните мрежи
• Дестинационни хотели с висок дял на чуждестранни гости
• Хотели, които са отворили нов уебсайт и са актуализирали своята domain инфраструктура

Тези констатации показват, че typosquatting не е случайно, а стратегическо престъпление.

Освен техническите мерки, комуникацията с гостите също съставлява важен защитен слой. Нашето проучване показа, че по-голямата част от случаите на измами се случват в ситуации, в които хотелът изобщо не е информирал гостите си за фалшивите сайтове.

Добавете ясно съобщение на вашата страница за резервации и на началната си страница: „Нашият официален уебсайт е само [иметонавашияхотел.com]. Внимавайте за други domain имена.“ Важно е това предупреждение да бъде визуално забележимо.

В имейлите за потвърждение, които изпращате на гостите си, напомнете за характеристиките на вашия истински сайт: посочете само от кой имейл адрес комуникирате, платформата, която използвате за плащане, и официалното си domain име.

Когато откриете фалшив domain, направете съобщение в социалните мрежи. Предупреждения от типа „Внимание: адресът [falsiv-sait.com] няма нищо общо с нас“ са един от най-ефективните начини да защитите гостите си мигновено.

Не всеки хотел разполага с голям бюджет за сигурност. Основните мерки, които могат да бъдат приложени с минимални разходи за малки и средни предприятия, са следните:

Приоритетно закупуване на domain имена (годишно ~50-100 долара): Регистрирайте веднага разширенията .com, .com.tr и .net на името на вашия хотел, ако не сте го направили преди. Добавете и най-често срещания си typosquatting вариант.

Седмична ръчна проверка (безплатно): Можете да инсталирате инструмента DNSTwist на вашия локален компютър или да използвате онлайн версиите му. Проверката веднъж седмично ви позволява да хванете рано новорегистрирани фалшиви domain имена.

Настройване на Google Alerts (безплатно): Създайте сигнали за няколко варианта на името на вашия хотел. Ще получавате уведомление, когато нов фалшив сайт започне да се индексира в търсачката.

Certificate Transparency мониторинг (безплатно): Правете редовно търсене за името на вашия хотел в crt.sh. Новите покупки на сертификати могат да сигнализират за нови фалшиви сайтове.

Тези четири стъпки създават основен защитен щит, който може да бъде приложен без никакъв допълнителен бюджет. За по-изчерпателен и автоматизиран мониторинг платформи като RuuSafe поемат напълно този процес.

Колкото и силни да са техническите мерки, човешкият фактор все още играе критична роля. Осъзнатостта на персонала за резервации и рецепция, който комуникира директно с гостите, относно typosquatting, допринася значително за ранното забелязване на случаите.

В обучението на персонала включете следните теми: как изглеждат фалшивите domain имена, как да се реагира, когато гост дойде с оплакване за фалшив сайт, и незабавното предаване на такива оплаквания на мениджъра.

Рецепционист в хотел в Анталия откри фалшивия сайт от подробностите, разказани от гост, който не можеше да се настани. В domain адреса в имейла за потвърждение, показан от госта, имаше една буква в повече. Благодарение на това същия ден можеше да започне правен процес срещу фалшивия сайт.

Проблемът с typosquatting не е проблем, който се решава веднъж и приключва. Нападателите продължават, като регистрират нови domain имена, когато бъдат хванати, разработват нови техники и варианти.

Поради тази причина защитата трябва да бъде проектирана като дългосрочен и непрекъснат процес. Еднократното сканиране веднъж годишно не е достатъчно; необходим е многопластов подход, включващ защита на марката, редовен мониторинг и информираност на персонала.

Експертите в сектора посочват, че най-успешните хотели в това отношение са тези, които създават систематична рутина за защита на марката чрез комбиниране на технологията и човешкия фактор. Такава рутина в дългосрочен план минимизира както финансовите загуби, така и щетите върху репутацията.

Освен откриването на фалшиви domain имена, мониторингът на SSL сертификати също добавя ефективен слой на защита. В това ръководство можете да научите как да проследявате нови покупки на сертификати от името на вашия хотел, като използвате Certificate Transparency логове.

За да научите стъпка по стъпка какво трябва да направите, когато откриете фалшив domain, можете да се обърнете към нашето ръководство за правен процес срещу фалшиви хотелски сайтове. Целият UDRP процес, оплакването до ICANN и правните пътища в Турция са обяснени в това ръководство.

Каква е разликата между typosquatting и homoglyph атака? Typosquatting имитира грешки при писане на клавиатурата (добавяне, премахване, замяна на букви). Homoglyph атаката пък използва различни Unicode знаци, които визуално изглеждат еднакво. Целта и при двата метода е една и съща: насочване на потребителя към грешен сайт. Homoglyph атаките обаче са почти неразличими дори в адресната лента.

Как мога да намеря фалшиви domain имена, свързани с моята марка? Можете да търсите domain имена чрез WHOIS базата данни на ICANN, да сканирате записи на SSL сертификати в crt.sh и да използвате инструменти с отворен код като DNSTwist. Тези инструменти систематично изброяват вариантите на името на вашата марка.

Колко време отнема UDRP процесът срещу фалшив domain? UDRP (Uniform Domain-Name Dispute-Resolution Policy) процесът обикновено завършва в рамките на 45 до 60 дни. Той е много по-бърз в сравнение с пътя на съдебното дело и в повечето случаи не изисква адвокат. Акредитираните от ICANN арбитражни институции (WIPO, NAF) управляват този процес.

Необходимо ли е да се отваря UDRP за всеки фалшив domain? Може да се наложи стартиране на отделен процес за всеки нов фалшив domain; въпреки това може да бъде поискана консолидация (обединяване) за повече от един domain, принадлежащ на същия нападател. Ранното откриване и бързата реакция са критични за прекъсване на цикъла на отваряне на нови domain имена от измамниците.

Открийте незабавно фалшивите domain имена, регистрирани на името на марката на вашия хотел. Инструментът за мониторинг на домейни на RuuSafe постоянно сканира typosquatting варианти и съобщава за нови опасности. Направете първото сканиране безплатно.