Обнаружение поддельных сайтов отелей за Cloudflare: Технические методы

Когда мы проанализировали сотни поддельных сайтов отелей, представшая перед нами картина была крайне показательной: более 80% этих сайтов размещались за Cloudflare CDN (Content Delivery Network). Этот выбор не случаен; Cloudflare скрывает реальный IP-адрес сервера, что серьезно затрудняет процессы удаления (takedown).

Для того чтобы инициировать процедуру против поддельного сайта, необходимо связаться с хостинг-компанией. А чтобы связаться с хостинг-компанией, необходимо знать IP-адрес. Когда Cloudflare скрывает этот IP, кажется, что процесс заходит в тупик. Однако видимое и реальное не всегда одно и то же.

В этой статье мы рассматриваем, как работает Cloudflare, почему защита не является абсолютной, и какие технические методы используются для обхода этой защиты и доступа к реальной инфраструктуре поддельных сайтов.

Легитимные сайты используют Cloudflare для защиты от DDoS, оптимизации скорости и безопасности. Мошенники же предпочитают его по другой причине: чтобы оставаться анонимными.

Когда сайт заходит за прокси Cloudflare, любой внешний DNS-запрос показывает только IP-адреса Cloudflare. Реальный IP сервера не виден. Это и усложняет запросы на удаление, и затрудняет идентификацию хостинг-компании.

Эксперты отрасли отмечают, что использование Cloudflare мошенниками таким образом на самом деле является злоупотреблением платформой. Собственные политики Cloudflare запрещают такое использование, однако система не вмешивается автоматически до поступления жалобы.

Защита Cloudflare работает на определенном уровне: она маскирует трафик HTTP и HTTPS. Однако веб-сервер работает не только с веб-трафиком. Почтовые серверы, старые DNS-записи, конфигурации поддоменов и поведение сервера могут оставаться за пределами этой маски.

Наше исследование показало, что в 73% поддельных сайтов, использующих Cloudflare, удалось получить реальный IP-адрес хотя бы одним альтернативным методом.

Это самая распространенная и самая продуктивная лазейка. Даже если основной домен находится за Cloudflare, поддомены могут указывать напрямую на IP сервера при другой конфигурации.

Техническая причина этого такова: трафик SMTP (электронная почта) не может быть направлен через прокси Cloudflare. Поддомены вроде "mail.sahteotel.com" или "smtp.sahteotel.com" вынуждены подключаться напрямую к почтовому серверу. При DNS-запросе для этого поддомена реальный IP-адрес виден напрямую.

В одном случае, который мы выявили в ходе исследования, в то время как основной домен был полностью под защитой Cloudflare, поддомен "info." указывал напрямую на сервер в Восточной Европе. На том же сервере размещалось 17 различных поддельных сайтов бронирования.

Среди инструментов, используемых для сканирования поддоменов, можно назвать Sublist3r, Amass и Subfinder. Эти инструменты пробуют распространенные имена поддоменов для домена и определяют, какой из них указывает на реальный IP.

• mail., smtp., imap., pop., mx., webmail. (инфраструктура электронной почты)
• ftp., sftp. (передача файлов)
• cpanel., whm., plesk., direct-admin. (панели хостинга)
• api., backend., admin., portal. (уровни приложений)
• dev., staging., test., beta. (среды разработки)

Большинство поддельных сайтов изначально не используют Cloudflare. После создания сайта они переходят за CDN из-за риска обнаружения. А DNS-записи периода до этого перехода остаются сохраненными в различных архивных сервисах.

Базы данных пассивных DNS, такие как SecurityTrails и ViewDNS.info, хранят IP-адреса и записи nameserver, которые домен использовал в прошлом. Глядя в эти архивы, можно увидеть реальный IP сервера, использовавшийся до перехода на Cloudflare.

В опыте одного из наших клиентов прошло всего три дня с момента сообщения нам о том, что поддельный сайт перешел на Cloudflare. Запрос, сделанный нами в SecurityTrails, выявил два различных IP-адреса, использовавшихся в период до перехода. Один из этих IP все еще активно обслуживал несколько поддельных сайтов.

В логах CT можно время от времени проводить поиск не только по доменному имени, но и на основе IP. Некоторые серверы получают SSL-сертификаты и для своих прямых IP-адресов.

После обнаружения IP-адреса в crt.sh можно поискать записи сертификатов, принадлежащих этому IP. Этот поиск может выявить другие поддельные сайты на той же инфраструктуре.

В реальном случае: после обнаружения IP-адреса поддельного сайта отеля методом поддомена, при поиске в логах CT для того же IP мы обнаружили еще 27 различных поддельных доменов. Все они были в рамках одной операции.

Чтобы получить более подробную информацию о логах Certificate Transparency, рекомендуем изучить нашу статью «Мониторинг логов Certificate Transparency».

Shodan — это поисковая система, которая постоянно сканирует устройства и серверы, подключенные к интернету. При поиске IP-адреса в Shodan можно увидеть версии программного обеспечения, работающего на этом сервере, открытые порты, заголовки сервисов (HTTP response headers) и баннерную информацию.

Эта информация может быть использована для нескольких целей:

• Определение того, какой хостинг-компании принадлежит сервер (информация ASN).
• Обнаружение других сайтов, размещенных на том же сервере.
• Фиксация известных уязвимостей в программном обеспечении сервера (вспомогательное доказательство в заявках на удаление).

В части проанализированных нами поддельных сайтов информация, полученная при сканировании Shodan, позволила установить зарегистрированную хостинг-компанию сервера и дала возможность напрямую обратиться в эту компанию.

Некоторые веб-серверы из-за неправильной конфигурации распространяют подробную информацию о сервере в таких конечных точках (endpoints), как "/server-status" или "/server-info". На серверах с открытыми конечными точками могут быть перечислены имена всех виртуальных хостов (virtual hosts), использующих этот сервер.

При обнаружении такой уязвимости защита Cloudflare становится нефункциональной. Потому что по собственному сообщению сервера все домены и связь с IP выходят на свет. Мы столкнулись именно с такой уязвимостью на одном из проанализированных нами поддельных сайтов; сервер содержал 31 различный поддельный домен и сам выдавал информацию о них всех.

Для обнаружения таких уязвимостей не требуется проверять каждый URL вручную. Автоматизированные инструменты могут быстро сканировать эти конечные точки.

Доступ к реальному IP-адресу конкретизирует процесс удаления (takedown):

Прямая жалоба хостинг-компании: С помощью запроса ASN (через инструменты вроде bgp.he.net или ipinfo.io) можно определить, какой хостинг-компании принадлежит IP. На e-mail адрес abuse хостинг-компании может быть отправлено уведомление DMCA или жалоба на злоупотребление.

Сильное обращение в Cloudflare: Предоставление информации о реальном сервере в жалобах, подаваемых в Cloudflare, ускоряет процесс оценки обращения. Cloudflare может прекратить обслуживание сайтов, нарушающих политику злоупотреблений.

Техническое доказательство в обращении в прокуратуру: IP-адрес и информация о хостинге имеют статус технического доказательства в турецком уголовном судопроизводстве и помогают ускорить расследование.

Каждый веб-сервер отправляет различную заголовочную (header) информацию в ответах HTTP. Среди этих заголовков могут быть подсказки о программном обеспечении сервера, среде выполнения или инфраструктуре хостинга.

Заголовки, на которые следует обратить особое внимание:

• Server: Может раскрывать программное обеспечение сервера, такое как Apache, Nginx, LiteSpeed; иногда содержит информацию о версии.
• X-Powered-By: Информация о среде выполнения, такая как версия PHP, версия ASP.NET.
• CF-Cache-Status: Статус кеша Cloudflare — подтверждает, действительно ли сайт находится за Cloudflare.
• Set-Cookie: Некоторые платформы хостинга оставляют свои следы в заголовке cookie (cPanel, Plesk и т. д.).

Для проверки этих заголовков можно использовать инструменты разработчика в браузере (F12 → вкладка Network). Также можно увидеть заголовки в чистом формате, используя команду curl.

В опыте одного из наших клиентов "X-Powered-By: PHP/7.4" и формат специального session cookie позволили идентифицировать хостинг-провайдера. Эта комбинация несла в себе отпечаток пальца определенной хостинг-компании, и в эту компанию удалось подать уведомление об Abuse напрямую.

Поддельные сайты отелей для создания ощущения реальности время от времени используют и функциональные адреса электронной почты. Контактные страницы, содержащие адреса вроде "[email protected]", добавляют поддельному сайту легитимный вид.

Запрос MX-записи (Mail Exchange) для этого адреса электронной почты может выявить IP-адрес почтового сервера. Запрос MX, сделанный с помощью MXToolbox или команды dig, показывает, куда направляется почтовый трафик. Почтовый сервер часто не находится за прокси Cloudflare и раскрывает реальный IP-адрес.

В одном случае, выявленном в ходе исследования, MX-запись указывала на IP-адрес, полностью отличный от веб-трафика. Тот IP-адрес совпадал с инфраструктурой поддельного хостинга, которую мы обнаружили ранее; благодаря этому мы смогли задокументировать, что два разных поддельных сайта отеля принадлежат одному и тому же оператору.

На практике применение этих методов не независимо друг от друга, а в рамках потока дает наиболее продуктивный результат. Рекомендуемый порядок исследования:

1. Запрос истории DNS (SecurityTrails): Есть ли IP до Cloudflare?
2. Сканирование поддоменов: Указывают ли поддомены вроде mail., smtp., ftp., admin. напрямую на IP?
3. Запрос MX-записи: Куда ведет IP почтового сервера?
4. Исследование логов CT: Есть ли другие записи сертификатов для найденного IP? Можно ли обнаружить другие сайты того же оператора?
5. Сканирование Shodan: Информация о программном обеспечении и инфраструктуре на IP.
6. Анализ HTTP-заголовков: Подсказки о платформе хостинга.

При применении этого потока к одному поддельному сайту мы тратим в среднем 45–90 минут; однако результаты чаще всего дают исчерпывающую информацию не только об этом сайте, но и обо всей поддельной операции.

Часто задаваемый вопрос: почему Cloudflare продолжает обслуживать эти поддельные сайты?

Cloudflare — это компания, предоставляющая услуги инфраструктуры, а не контента, и принимает решения в соответствии со своей собственной политикой. Она прекращает обслуживание сайтов, в отношении которых доказано, что они содержат фишинг, нарушение товарного знака и мошенничество; однако принимает это решение через процесс, основанный на жалобах.

При оценке уведомлений об Abuse Cloudflare ищет следующее:

• Конкретные доказательства фишинга (форма оплаты, экран поддельного бронирования и т. д.).
• Документ о нарушении товарного знака (регистрация товарного знака или явное доказательство владения брендом).
• Заявления пострадавших (жалобы пользователей, документирующие факт ущерба).

Эксперты отрасли отмечают, что в уведомлениях с высоким качеством документов решение Cloudflare о прекращении обслуживания принимается в течение 3–7 дней. В уведомлениях со слабыми или двусмысленными документами процесс может затянуться или не дать результата.

Поэтому критически важно приложить к уведомлению технические доказательства, собранные вышеуказанными методами исследования, до отправки уведомления в Cloudflare.

Применение этих методов по одному требует и технических знаний, и времени. В некоторых случаях в ходе нашего исследования на получение реального IP поддельного сайта уходили часы.

Учитывая количество и сложность поддельных сайтов отелей, ручное исследование не является устойчивым в долгосрочной перспективе. Эксперты отрасли отмечают, что автоматизация таких анализов стала операционной необходимостью.

В нашем исследовании было замечено, что отели, получившие реальный IP, добивались удаления поддельных сайтов в среднем за 4 дня. В случаях, когда реальный IP не удавалось обнаружить, этот период увеличивался до 3–6 недель; в течение этого времени поддельный сайт продолжал собирать деньги с гостей. Обнаружение IP — это не вопрос комфорта; оно создает разницу в эффективности, которая напрямую измеряется экономическими потерями.

На этапе обнаружения реального IP мониторинг логов CT является мощной дополняющей технологией наряду с исследованием истории DNS. Узнайте в этом руководстве, как можно отслеживать все SSL-сертификаты, полученные от имени вашего отеля, через логи Certificate Transparency. Кроме того, платформы SecurityTrails и Shodan являются часто используемыми бесплатными ресурсами при обнаружении IP.

Законно ли обнаруживать сайт за Cloudflare? Да. Пассивный запрос DNS, исследование логов CT и сканирование архивов — это полностью законные технические методы. Эти методы используют общедоступные данные. Действия, носящие характер несанкционированного доступа к системе или атаки, не являются законными; однако методы, описанные в этом руководстве, не входят в эту категорию.

Какой метод обхода Cloudflare самый быстрый? Исследование истории DNS (SecurityTrails, PassiveDNS) и запрос логов CT (crt.sh) в большинстве случаев дают результат за несколько минут. Специфические для сайта поддомены или заголовки старых электронных писем также могут обеспечить быстрое обнаружение IP. Хотя четкого рейтинга нет, вероятность успеха значительно возрастает при совместном использовании этих двух методов.

Какую информацию предоставляет Shodan? Shodan сканирует открытые порты и перечисляет сервисы, работающие по определенному IP-адресу, и баннерную информацию. Он показывает, в какой стране находится IP, какого хостинг-провайдера использует и открытые веб-сервисы. Эта информация служит конкретным техническим доказательством при подготовке уведомления об Abuse хостинг-провайдеру.

Можно ли инициировать takedown без реального IP? Да. Даже если реальный IP не известен, можно подать жалобу в ICANN регистратору домена и уведомление о фишинге в Cloudflare. Однако обнаружение IP дает важное преимущество для возможности прямого обращения к хостинг-провайдеру и получения более быстрых результатов. Takedown на уровне домена и закрытие сервера путем отслеживания реального IP — это две стратегии, дополняющие друг друга.

Используйте инструмент автоматического сканирования RuuSafe для обнаружения реальной инфраструктуры поддельных сайтов вашего отеля за Cloudflare. Первое сканирование бесплатно и дает результат в течение нескольких минут.