Co s podvodnou doménou

Co s podvodnou doménou
« kdy: 04. 03. 2021, 12:04:15 »
Zdravím,
narazili jsme na klasickou phishingovou doménu, která se tváří jako web našeho odborného časopisu (dokonce obsahuje i jméno pravého editora), obsahuje oproti originálu řadu chyb a překlepů a jménem editora rozesílá klasické phishingové e-maily, na které se občas někdo chytí a zaplatí (berou i bitcoiny:-) za "publikaci" ve "vědeckém" časopise. Web běž na Ukrajině a je registrován panamskou společností (pravděpodobně off-shorovou) u amerického registrátora. Odkud jsou podvodníci je samozřejmě nejasné.
Otázka je, zdali se proti nim dá nějak účinně postupovat. Doménu jsem nahlásil jako podvodnou registrátorovi, ale kromě úvodního (polo)automatického bla bla jsme se zatím o moc dále neposunuli. Je nad ním nějaká autorita, která by jej mohla donutit jednat? Trestní oznámení na české policii mi přijde poněkud formální.


Re:Co s podvodnou doménou
« Odpověď #1 kdy: 04. 03. 2021, 12:39:02 »
Trestní oznámení na neznámého pachatele mi přijde jako poměrně vhodné.
Byť tím řekněme nezpůsobují finanční újmu přímo Vám, ale Vašim zákazníkům... tzn. přestože újma Vám je spíš v rovině poškození dobrého jména. Zločinný úmysl (tzn. minimálně stádium pokusu) jasně plyne z napodobení Vašeho oficiálního webu, zneužití identity editora apod. Trestní oznámení nemusí podávat zrovna poškozený (pokud mu to nestojí za to) ale prakticky kdokoli, kdo se o trestném činu dozvěděl. Svým zákazníkům tím naopak prokážete službu, nenecháte je ve štychu.
Otázka je, zda budou poškození zákazníci ochotni o trestném činu alespoň svědčit :-) ale to je asi vedlejší.

Naše policie má nástroje pro mezinárodní spolupráci a takových případů je nenulové množství. Policie má taky možnost, s jasně danými podmínkami a záznamem o přístupech, nahlížet do neveřejných částí různých rejstříků apod. Neslibuji, že z Vás budou nadšení, ale ujišťuji Vás, že nebudete rozhodně první, kdo požádá o pomoc. Podvodníčků tohoto typu a různé úrovně sofistikovanosti je poměrně hodně. Pravděpodobně nejste jediná oběť daného "šikuly" = připojíte se třeba ke spisu, který už je otevřený. Co jsem slyšel, často se poškozených postupně nasbírá větší počet. PČR v tomto rozhodně není neschopná nebo něco v tom smyslu - spíš je takových malých podvodníčků tolik, že je rutinní řešení téhle chamradi trochu sisyfovská práce.
Pokud přijde místnímu providerovi na Ukrajině nebo registrátorovi v USA od jejich místní police předvolání k podání vysvětlení, nebo výzva ke spolupráci a nápravě, tak to má kapku větší váhu, než Vaše emailová stížnost na abuse@provider.ua. A nakonec... pokud se dotyčný podvodný web a celé to schéma soustředí v zásadě na tuzemský okruh potenciálních obětí, dost možná je útočníkem taky někdo odsud, a s trochou štěstí je dohledatelný = následně postižitelný našimi orgány na našem území.

Re:Co s podvodnou doménou
« Odpověď #2 kdy: 04. 03. 2021, 12:43:18 »
Zkuste ji nahlásit i googlu https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en , minimálně pak bude nedostupná pro "většinu" prohlížečů.

mhi

  • ****
  • 340
    • Zobrazit profil
Re:Co s podvodnou doménou
« Odpověď #3 kdy: 04. 03. 2021, 14:08:15 »
Jsem laik, nicmene pokud pujdete cestou OČTŘ, durazne doporucuji jim to dat na zlatem podnose, snaha odlozit vec bude myslim obrovska. Takove jsou moje zkusenosti, treba jednou nasli konkretniho pachatele (mezinarodne) a stejne doslo k odlozeni pro malou spolecenskou nebezpecnost. Samozrejme proti tomu muzete brojit, nicmene to je asi situace jako kdyz reklamujete v obchode zbozi a obchod nechce reklamaci uznat, ze.

Tedy minimalne bych povazoval za samozrejme, ze jim predlozite komunikaci podvodnika kde budou alespon nejaka cisla uctu. Treba jestli berou karty/Paypal tak bych jim i zaplatil, dokoncil celou transakci prostrednictvim treti osoby a pak narokoval penize zpet az dotycny "zjisti", ze to je skutecne podvod.

Re:Co s podvodnou doménou
« Odpověď #4 kdy: 04. 03. 2021, 16:53:37 »
Děkuji za nápady. Nahlásit Google jsem to zkusil, doposud (~3 týdny) se nic nestalo. Jako nejjednodušší mi přišlo oslovit doménového registrátora, ale ten také nehýří aktivitou, tak mě zajímalo zdali nad ním je nějaká vyšší autorita (třeba správce domény .com), který by sloužil jako jakási odvolací/nadřízená instituce. Ještě někomu to mohu nareportovat? Trestní oznámení máme v přípravě, akorát mi to přišlo poněkud neohrabané a na dlouhé lokte... Časopis má mezinárodní auditorium, takže i podvedení jsou z různých zemí, což situaci neusnadňuje, a poté, co zjistí, že byli podvedeni, tak už většinou nehýří ochotou poskytnout detaily komunikace s podvodníky. Kromě možná nějakého dopadu na reputaci a občasné nepříjemné komunikace s podvedenými se nám nic moc neděje, ale stejně takové podvody nemíním tolerovat. :-)


Re:Co s podvodnou doménou
« Odpověď #5 kdy: 04. 03. 2021, 17:14:02 »
Na google bych nespoléhal, když zablokoval všechny funkční online youtube downloadery, ale nechal zbylé phishingové weby  ;D

Re:Co s podvodnou doménou
« Odpověď #6 kdy: 04. 03. 2021, 22:25:07 »
Někdy se to řeší sledováním finančních toků - tam záleží na způsobech plateb a platebních branách. Pokud půjdete na PČR, tak bych tam šel rovnou i s tím, že jste tam poslal peníze ať mají na začátek něco, čeho se můžou chytit.
Obecně tam asi šance je, ale asi ne moc velká.

by_cx

  • ***
  • 152
    • Zobrazit profil
    • E-mail
Re:Co s podvodnou doménou
« Odpověď #7 kdy: 04. 03. 2021, 23:16:17 »
Zkuste to sundat přes abuse emailovou adresu z whois u IP adresy, kde to běží. Nám takhle jednou přišel abuse report na web, který používal v názvu něčí registrovanou známku. Náš klient nakonec ten web stáhnul, ale kdyby to neudělal a my to nechali běžet, tak podle telekomunikačního zákona by to mohlo padnout i na nás. Nedělal bych si o tom iluze, ale je to jen jeden email.

Pokud by to nepomohlo, tak bych se možná zaměřil na kvalitu infrastruktury toho webu. Pokud neudělali pořádně texty, tak systém, kde to běží, na tom bude asi podobně.

Re:Co s podvodnou doménou
« Odpověď #8 kdy: 08. 03. 2021, 11:33:43 »
Abuse mail jsem nezkoušel, jen požadavek na doménového registrátora přes webové rozhraní. Prý mají strašně moc požadavků a nestíjají, ale už je to docela dlouho...

S tou kvalitou webu si nejsem jist, co máte na mysli... Až na kontaktní formulář a platební bránu to vypadá jako statické HTML...

Platební bránu jsem blíže nezkoumal. Jedna z obětí nám teď poslala snímky celého procesu a maily včetně hlaviček. To už bylo zajímavější. Mailový systém používá, zdá se, služby v minimálně 4 zemích. Akorát o té platbě jsem se toho tolik nedozvěděl.

Každopádně už máme snad dost dokladů pro Policii. Pro mě je akorát celkem zklamání nízká aktivita doménového registrátora, což by mi přišlo jako pro všechny nejjednodušší řešení... Takže nad nějakou firmičkou není v .com doméně nikdo výše, kdo by je mohl popostrčit...?

Každopádně děkuji všem za postřehy i nápady.

by_cx

  • ***
  • 152
    • Zobrazit profil
    • E-mail
Re:Co s podvodnou doménou
« Odpověď #9 kdy: 08. 03. 2021, 12:14:45 »
No měl jsem na mysli dostat se do toho webu/serveru a zjistit víc o tom, kdo ho provozuje.

Ještě může být cesta kontaktovat provozovatele platební brány. Je možné, že bude ochotný ten web odpojit od možnosti platit. Kdyby to byl třeba Paypal, tak to podle mě nevydrží ani pár refundů.

V USA jedou hodně scamy z Indie. Nějaký nepoučený uživatel zavolá na číslo, co se objeví na stránce, která říká, že má virus a když ho mají na uchu, tak z něj dokáží vytáhnout tisíce dolarů. Tohle taky nikdo nedokáže sundat a to jde o business, kde jedno malé call centrum protočí stovky tisíc dolarů ročně, tak se úplně nedivím, že je možné to, co se vám zrovna děje a nikoho to moc nebere.

Re:Co s podvodnou doménou
« Odpověď #10 kdy: 08. 03. 2021, 12:39:01 »
Jasně, děkuji. :-)

_Jenda

  • *****
  • 901
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Co s podvodnou doménou
« Odpověď #11 kdy: 08. 03. 2021, 13:24:17 »
Na google bych nespoléhal, když zablokoval všechny funkční online youtube downloadery, ale nechal zbylé phishingové weby  ;D
Zdroj?