Ръководство за откриване на фалшиви сайтове чрез WHOIS проверка

WHOIS проверката е публична услуга за търсене в база данни, която показва от кого, кога и чрез кой регистратор е регистрирано едно интернет име на домейн (domain). Тази система, стандартизирана от ICANN (Internet Corporation for Assigned Names and Numbers), е крайъгълен камък на прозрачността на собствеността на домейни в интернет от 1982 г. насам. Експертите по киберсигурност и екипите за защита на марката използват WHOIS данните като един от основните източници за откриване на фалшиви сайтове.

За хотелиерите и екипите за дигитална сигурност WHOIS отговаря на два критични въпроса: „Чий е този domain?“ и „Кога е регистриран?“. Отговорът на тези два въпроса често разкрива разликата между фалшив сайт и легитимен сайт.

Една WHOIS проверка обикновено съдържа следната информация:

• Дата на регистрация (Creation Date): Датата, на която domain е регистриран за първи път
• Дата на подновяване (Expiry Date): Датата, на която валидността на domain изтича
• Дата на актуализация (Updated Date): Датата на последната промяна
• Регистратор (Registrar): Компанията, която е продала domain (GoDaddy, Namecheap, Tucows и др.)
• Сървъри за имена (Name Servers): Сървърите, които управляват DNS инфраструктурата на domain
• Информация за собственика на регистрацията: Име, адрес, имейл (маскирани, ако е активна услуга за поверителност)
• Техническа и административна информация за контакт: Данни за контакт за връзка с администратора на domain

Тези данни предоставят директни улики за разбиране на това дали даден domain, използващ името на хотел, наистина принадлежи на този хотел или е фалшиво копие, регистрирано по-късно.

Има четири основни елемента, върху които трябва да се съсредоточите, когато оценявате WHOIS данните при съмнение за фалшив сайт:

Истинските хотели регистрират своите domain адреси едновременно с основаването на бизнеса си или в близък период. Ако domain, носещ същото име като вашата марка, е регистриран наскоро, особено преди натоварения сезон, това е сериозен предупредителен сигнал. Например, domain, регистриран 2-3 месеца преди началото на сезона и използващ името на хотел, е много вероятно да е регистриран с измамна цел.

Легитимните хотелски сайтове обикновено се регистрират чрез местни или утвърдени регистратори (като Natro, İsimtescil, GoDaddy). Регистратори, регистрирани в неизвестни или високорискови държави (някои малки островни държави, региони с висок процент на спам), могат да събудят подозрение.

Въпреки че услугата за поверителност на WHOIS е в обща употреба за истинските бизнеси, операторите на фалшиви сайтове използват услуги за поверителност почти без изключение. От друга страна, корпоративната информация за контакт за легитимни хотелски сайтове обикновено е достъпна. Само по себе си използването на услуга за поверителност не е доказателство за фалшификация; но значението му нараства, когато се комбинира с други подозрителни индикатори.

Фалшивите сайтове често предпочитат анонимни или временни хостинг инфраструктури. Проверката на това коя компания притежава сървърите за имена и дали тази компания е хоствала подобни фалшиви домейни в миналото, осигурява допълнителен слой на проверка.

1. Отидете на ICANN WHOIS или who.is.
2. Напишете съмнителния адрес на domain в полето за въвеждане и го проверете.
3. Проверете полето Дата на регистрация: съвпада ли с годините, в които хотелът работи?
4. Проверете полето Собственик на регистрацията: съвпада ли с името на хотела или неговата компания?
5. Отбележете полето Сървъри за имена: позната хостинг инфраструктура ли е или неизвестна услуга?
6. Проучете регистратора: запишете информацията за контакт на регистратора за докладване на злоупотреба.
7. Сравнете находките с легитимната регистрация на domain, която вземате за референция.

Прилагането на този анализ заедно със списъка с варианти на домейни, описан в нашето ръководство за сигурност на хотелски домейни и typosquatting, предлага възможност за цялостно сканиране.

След влизането в сила на GDPR, базираните в Европа регистратори започнаха да крият личните данни по стандарт. Тъй като това важи и за легитимните бизнеси, не е правилно поверителността на WHOIS да се счита за доказателство за фалшификация сама по себе си.

Въпреки това, в повече от 87% от фалшивите регистрации на домейни услугата за поверителност е активна; този процент е на ниво 45-50% за легитимните хотелски домейни. Следователно използването на услуга за поверителност е важен индикатор, който трябва да се оцени, когато се комбинира с други предупредителни знаци.

Когато услугата за поверителност е активна, може да се поиска информация за собственика чрез канала за злоупотреби (abuse), предлаган от регистратора. В правни процеси разкриването на информацията за собственика може да бъде поискано от съда чрез механизма Uniform Domain-Name Dispute-Resolution Policy (UDRP) на ICANN.

Инструментът за сканиране на домейни на RuuSafe отива отвъд стандартната WHOIS проверка и предлага автоматична оценка на риска. Инструментът анализира WHOIS данните заедно със следните параметри:

• Възраст на domain и история на регистрациите
• Информация за SSL сертификата
• DNS записи (A, MX, NS)
• Хостинг инфраструктура и географско местоположение
• Съвпадение с известни бази данни за phishing и malware

Всички налични данни се комбинират и се изчислява оценка на риска между 0 и 100. Резултат от 70 и нагоре посочва високорискови домейни, които изискват спешна проверка.

За цялостен мониторинг на домейни препоръчваме да прегледате нашето ръководство Какво е мониторинг на домейни и защо е необходим за хотелите.

Да. Платформи като ICANN WHOIS (lookup.icann.org) и who.is предлагат възможност за безплатна проверка. За групови проверки и автоматичен мониторинг са налични платени API услуги. Основната функция за WHOIS проверка на RuuSafe може да се използва с безплатния план.

Не. Погрешно декларираните WHOIS данни са често срещани, особено при операторите на фалшиви сайтове. Въпреки че политиката на ICANN изисква точна информация, надзорът е ограничен. Поради тази причина WHOIS сам по себе си не е достатъчен; той трябва да се използва заедно с SSL анализ, DNS записи и преглед на съдържанието.

Можете да направите доклад чрез три канала: 1) Abuse адреса на регистратора (намира се в WHOIS), 2) Abuse адреса на хостинг доставчика, 3) BTK İhbarweb. За правен процес обсъдете с вашия адвокат жалба по UDRP или искане за обезпечителна мярка в турските съдилища.

WHOIS проверката е мощен и достъпен инструмент в процеса на откриване на фалшиви хотелски сайтове. Когато информацията за датата на регистрация, регистратора и сървъра за имена се оценяват заедно, разликата между фалшив domain и легитимен domain често се проявява ясно. Комбинирането на тази техническа компетентност с инфраструктурата за автоматично сканиране на RuuSafe прави възможно непрекъснатото и надеждно защищаване на вашата марка.