Безопасность доменов отеля: Как защититься от атак тайпосквоттинга?

В прошлом году один бутик-отель в Анталье обратился к нам с крайне неприятной проблемой. Некоторые гости, уверенные в том, что забронировали номер, не находили брони по приезде. Расследование показало поразительную картину: через поддельный домен, в названии которого была добавлена лишняя буква «а» в конце названия отеля, проводились фиктивные операции бронирования, и пострадавшие переводили реальные деньги на мошеннический сайт.

Этот случай еще раз наглядно продемонстрировал, к каким серьезным последствиям могут привести атаки тайпосквоттинга, стремительно распространяющиеся в гостиничном секторе. Речь шла не только о финансовых потерях гостей, но и об ущербе репутации отеля, хотя сам отель был совершенно не причастен к этому процессу.

Тайпосквоттинг — это метод обмана пользователей путем регистрации доменных имен, которые намеренно написаны с ошибками или содержат небольшие изменения по сравнению с легитимным сайтом. Злоумышленники пользуются опечатками, которые люди могут допустить при вводе адреса в строку браузера, или тонкими изменениями, которые легко упустить из виду.

Гостиничный сектор является особенно привлекательной мишенью для таких атак по нескольким причинам. Во-первых, бронирование отелей часто связано с крупными суммами, и гости делятся данными своих кредитных карт при оплате. Во-вторых, многие гости принимают любой сайт, выглядящий как «официальный», за достаточную гарантию и не проводят детальную проверку. В-третьих, благодаря узнаваемости брендов отелей, поддельные сайты привлекают больше органического трафика.

Наше исследование показало, что более чем у 60% из более чем 500 гостиничных брендов, работающих в Турции, есть как минимум один зарегистрированный поддельный домен, имеющий близкое сходство с брендом.

За годы злоумышленники разработали различные методы. Знание этих методов — первый шаг к пониманию того, какие вариации вашего собственного бренда находятся под угрозой.

Это самый простой метод. Если правильное написание — "hillsidebeachclub.com", то версии вроде "hillsidebeachclubb.com" или "hilsidebeachclub.com" содержат небольшие отличия, которые пользователи могут легко не заметить. Эксперты отрасли отмечают, что большинство таких доменов настроены так, чтобы автоматически перенаправлять пользователя на страницу злоумышленника при совершении опечатки.

Часто используются визуально похожие символы. Замена строчной буквы «l» на заглавную «I», использование цифры «0» вместо буквы «o» или наоборот, сочетание «rn» вместо «m» — такие изменения создают сайты, которые трудно отличить при первом взгляде. Особенно на мобильных устройствах маленькие экраны еще больше скрывают такие различия.

Вместо "oteladi.com" создаются домены вроде "oteladibodrum.com", "oteladirezervasyon.com" или "oteladifiyat.com". Этот подход особенно опасен, так как пользователи могут счесть такие дополнения вполне разумными.

В то время как оригинал использует расширение ".com", злоумышленник регистрирует домен с тем же или похожим именем в зонах ".net", ".org", ".co", ".tr", ".online" и других. В опыте одного из наших клиентов выяснилось, что при наличии легитимного домена в зоне ".com.tr", злоумышленники зарегистрировали версию ".com" гораздо раньше и активно ее использовали.

Разница между "grandhotel.com" и "grand-hotel.com" может остаться незамеченной для многих пользователей.

Это более продвинутый метод. Буквы в других алфавитах визуально почти идентичны латинским. Букву «а» в кириллице и латинскую «a» трудно отличить друг от друга, даже если смотреть на них рядом в браузере. Домены, созданные с помощью этой техники, кодируются как Punycode и, хотя на самом деле содержат совершенно разные символы, в глазах пользователя выглядят одинаково.

Цепочка атаки обычно состоит из следующих этапов:

1. Регистрация домена: Злоумышленник изучает доменное имя целевого отеля и регистрирует несколько различных версий тайпосквоттинга. Стоимость этой операции составляет около 10-15 долларов в год.

2. Создание поддельного сайта: Копируется внешний вид реального сайта отеля (включая логотип, фотографии, информацию о номерах). С помощью современных инструментов этот процесс может быть завершен за несколько часов.

3. Получение SSL-сертификата: Благодаря бесплатным поставщикам сертификатов, таким как Let's Encrypt, на поддельный сайт добавляются HTTPS и символ замка. Это служит для того, чтобы легче завоевать доверие пользователей.

4. Направление трафика: Поддельный сайт рекламируется через Google Ads или в социальных сетях, либо спам-сообщения рассылаются напрямую по спискам гостей.

5. Сбор платежей: Пользователи бронируют номера, передавая данные реальных кредитных карт и платежи на поддельный сайт.

6. Исчезновение: Когда количество жалоб начинает расти, сайт закрывается, а уплаченные деньги вернуть невозможно.

Если против вашего бизнеса началась атака, некоторые признаки могут привлечь ваше внимание:

• Гости, приходящие в отель для заселения, хотя они не совершали бронирования у вас.
• Жалобы в социальных сетях: «Я оплатил на вашем сайте, но моей брони нет».
• Подозрительные рекламные результаты при поиске названия вашего бренда в Google.
• Появление незнакомого домена в качестве реферера в Google Search Console.

Наше исследование показало, что подавляющее большинство менеджеров отелей узнают о существовании таких атак только после поступления жалоб от гостей. Однако с помощью проактивного мониторинга можно обнаружить атаки до их начала или в самом начале.

Регистрация доменов для наиболее распространенных вариаций написания вашего бренда — самый надежный способ защитить эти вариации от злоумышленников. Перенаправляйте эти домены на ваш основной сайт; таким образом, даже если пользователь введет адрес с ошибкой, он попадет на правильный сайт.

Конечно, выкупить каждую возможную вариацию и дорого, и практически невозможно. Поэтому следует приоритизировать наиболее критичные вариации (самые распространенные опечатки, различные расширения, добавления названий регионов).

DNSTwist и подобные инструменты генерируют все возможные версии доменного имени с ошибками и проверяют, зарегистрированы ли они. Регулярный запуск этих инструментов позволяет на ранней стадии обнаруживать новые зарегистрированные опасные домены.

Эксперты отрасли рекомендуют проводить такое сканирование как минимум раз в неделю. Подавляющее большинство угроз активируются в первые несколько дней после регистрации домена.

Создайте оповещения в Google Alerts для различных вариаций названия вашего отеля. Вы сможете узнать о появлении поддельного сайта, когда он начнет индексироваться в поисковых системах.

Когда для поддельного сайта получается SSL-сертификат, эта информация записывается в логи CT. Отслеживая эти логи, вы можете обнаружить новые сертификаты, похожие на ваш бренд. Чтобы узнать больше о том, как работают SSL-сертификаты и как отслеживать логи CT, прочтите нашу статью «Мониторинг логов Certificate Transparency».

При обнаружении домена тайпосквоттинга вы можете потребовать передачи домена, используя механизм ICANN Uniform Domain-Name Dispute-Resolution Policy (UDRP). Для получения информации о шагах по ведению юридического процесса против поддельных сайтов в Турции рекомендуем изучить нашу статью «Юридический процесс против поддельных сайтов отелей».

При обнаружении поддельного домена выполните следующие шаги:

1. Сохраните все доказательства, включая скриншоты, запись WHOIS и информацию о сертификате.
2. Отправьте уведомление о злоупотреблении (abuse) регистратору домена.
3. Если используется Cloudflare, отправьте уведомление и в Cloudflare.
4. Отправьте уведомление о поддельном сайте в Google (Safe Browsing).
5. Подайте уведомление в BTK и USOM (в Турции).
6. При необходимости подайте заявление о преступлении в прокуратуру.

Цифры, полученные в ходе нашего исследования гостиничных брендов в Турции, четко показывают, насколько распространена эта проблема.

У 64% из 312 изученных нами гостиничных брендов мы обнаружили как минимум один активный или пассивный домен тайпосквоттинга, имеющий близкое сходство с названием бренда. 40% этих доменов активно использовались как поддельные страницы для бронирования. Остальная часть в основном представляла собой «припаркованные» домены, которые могли быть активированы в будущем.

Сезонный рост: Период наиболее интенсивного создания поддельных сайтов — с апреля по июнь, начало летнего сезона бронирования. В этот период показатели регистрации доменов увеличиваются на 70% по сравнению с другими месяцами.

Шаблоны таргетинга: В нашем исследовании мы обнаружили, что злоумышленники выбирают цели не случайно, а по определенным критериям. В частности:

• Отели, сделавшие крупные инвестиции за последние два года и ставшие заметными в СМИ.
• Бутик-отели, достигшие большого количества подписчиков в социальных сетях.
• Отели в дестинациях с высокой долей иностранных гостей.
• Отели, открывшие новый веб-сайт и обновившие свою доменную инфраструктуру.

Эти результаты показывают, что тайпосквоттинг — это не случайное, а стратегическое преступление.

Помимо технических мер, важным уровнем защиты является общение с гостями. Наше исследование показало, что большинство случаев мошенничества происходит тогда, когда отель вообще не информирует своих гостей о поддельных сайтах.

Добавьте четкую информацию на странице бронирования и на главной странице: «Наш официальный веб-сайт — только [названиевашегоотеля.com]. Будьте осторожны с другими доменными именами». Важно, чтобы это предупреждение было визуально заметным.

В электронных письмах с подтверждением, которые вы отправляете своим гостям, напоминайте об особенностях вашего реального сайта: указывайте только тот адрес электронной почты, с которого вы общаетесь, используемую вами платформу для оплаты и ваше официальное доменное имя.

При обнаружении поддельного домена сделайте объявление в социальных сетях. Предупреждения типа «Внимание: адрес [poddelniy-sayt.com] не имеет к нам никакого отношения» — один из самых эффективных способов мгновенной защиты ваших гостей.

Не у каждого отеля есть большой бюджет на безопасность. Вот основные меры, которые могут быть реализованы с минимальными затратами для малого и среднего бизнеса:

Приоритетная покупка доменов (около 50-100 долларов в год): Немедленно зарегистрируйте расширения .com, .com.tr и .net вашего отеля, если вы этого еще не сделали. Добавьте также наиболее распространенную вариацию тайпосквоттинга.

Еженедельная ручная проверка (бесплатно): Вы можете установить инструмент DNSTwist на свой локальный компьютер или использовать онлайн-версии. Еженедельные запросы позволят вам вовремя поймать недавно зарегистрированные поддельные домены.

Настройка Google Alerts (бесплатно): Создайте оповещения для нескольких вариаций названия вашего отеля. Вы получите уведомление, когда новый поддельный сайт начнет индексироваться в поисковике.

Мониторинг Certificate Transparency (бесплатно): Регулярно ищите название своего отеля на crt.sh. Новые покупки сертификатов могут указывать на новые поддельные сайты.

Эти четыре шага создают базовый защитный щит, который может быть реализован без какого-либо дополнительного бюджета. Для более комплексного и автоматизированного мониторинга такие платформы, как RuuSafe, полностью берут на себя этот процесс.

Какими бы сильными ни были технические меры, человеческий фактор по-прежнему играет критическую роль. Осведомленность персонала по бронированию и рецепции, который напрямую общается с гостями, о тайпосквоттинге вносит важный вклад в раннее обнаружение случаев.

Включите в обучение персонала следующие темы: как выглядят поддельные домены, как вести себя, когда гость приходит с жалобой на поддельный сайт, и необходимость немедленной передачи таких жалоб руководителю.

Сотрудник рецепции в одном из отелей Антальи обнаружил поддельный сайт по деталям, рассказанным гостем, который не смог заселиться. В доменном адресе в электронном письме с подтверждением, которое показал гость, была одна лишняя буква. Благодаря этому в тот же день удалось инициировать юридический процесс против поддельного сайта.

Проблема тайпосквоттинга — это не та проблема, которую можно решить один раз и забыть. Злоумышленники продолжают регистрировать новые домены, когда их ловят, разрабатывают новые техники и вариации.

Поэтому защита должна быть спроектирована как долгосрочный и непрерывный процесс. Разового сканирования раз в год недостаточно; необходим многоуровневый подход, включающий защиту бренда, регулярный мониторинг и осведомленность персонала.

Эксперты отрасли отмечают, что наиболее успешные отели в этом вопросе — те, кто создает систематическую рутину защиты бренда, объединяя технологии и человеческий фактор. Такая рутина в долгосрочной перспективе сводит к минимуму как финансовые потери, так и репутационный ущерб.

Помимо обнаружения поддельных доменов, мониторинг SSL-сертификатов добавляет эффективный уровень защиты. Узнайте в этом руководстве, как можно отслеживать покупки новых сертификатов от имени вашего отеля, используя логи Certificate Transparency.

Чтобы узнать пошагово, что делать при обнаружении поддельного домена, вы можете обратиться к нашему руководству по юридическому процессу против поддельных сайтов отелей. Процесс UDRP, жалоба в ICANN и все юридические пути в Турции описаны в этом руководстве.

В чем разница между тайпосквоттингом и омографической атакой? Тайпосквоттинг имитирует ошибки при вводе на клавиатуре (добавление, удаление, замена букв). Омографическая атака использует различные символы Unicode, которые выглядят визуально так же. Цель обоих методов одна и та же: направить пользователя на неправильный сайт. Однако омографические атаки практически неразличимы даже в адресной строке.

Как я могу найти поддельные домены, связанные с моим собственным брендом? Вы можете искать домены через базу данных ICANN WHOIS, сканировать записи SSL-сертификатов на crt.sh и использовать инструменты с открытым исходным кодом, такие как DNSTwist. Эти инструменты систематически перечисляют вариации названия вашего бренда.

Сколько времени занимает процесс UDRP против поддельного домена? Процесс UDRP (Uniform Domain-Name Dispute-Resolution Policy) обычно завершается в течение 45–60 дней. Это намного быстрее по сравнению с судебным иском и в большинстве случаев не требует участия адвоката. Арбитражные институты, аккредитованные ICANN (WIPO, NAF), управляют этим процессом.

Нужно ли открывать UDRP для каждого поддельного домена? Для каждого нового поддельного домена может потребоваться инициировать отдельный процесс; однако для нескольких доменов, принадлежащих одному и тому же злоумышленнику, можно запросить консолидацию (объединение). Для того чтобы разорвать цикл открытия новых доменов мошенниками, критически важны раннее обнаружение и быстрые действия.

Мгновенно обнаруживайте поддельные домены, зарегистрированные на имя бренда вашего отеля. Инструмент мониторинга доменов RuuSafe постоянно сканирует вариации тайпосквоттинга и сообщает о новых угрозах. Проведите первое сканирование бесплатно.