A-A+

域名被盗怎么办 如何找回?

2015年09月08日 经验杂谈 暂无评论 阅读 897 次

1.域名被盗经典案例

一直以来,互联网基础架构的脆弱性有目共睹,域名系统的安全问题一直是国内网站运行的短板。而域名作为网站重要的无形资产,正因为有利可图,不法分子才会将法律道德置若罔闻。甚至很多情况下,域名被盗后,是通过完全“合法”的流程被转移的。

首先让我们来看几个比较具有代表性的域名被盗案例:

知名企业案例:百度曾因域名被盗导致服务中断长达5个小时。

279759ee3d6d55fbafcb505b6d224f4a21a4462309f7fd81副本

2010年在百度域名被盗事件中,黑客通过网络聊天工具假冒百度员工,向Register.com的客服人员求助,要求客服代表更改百度的电子邮件地址存档。实际上,这名黑客并未正确回答安全问题,也无法访问百度域名的注册电子邮箱,因而编造了一个确认码,并在客服代表索取时将其发送给对方。在没有检验两组确认码是否一致的情况下,Register.com的客服人员便同意了对方的请求,更改了百度的注册邮箱。而后,该黑客利用新邮箱更改了百度账号的设置,且将百度重定向到其他网页。

百度在与域名商Register.com联系,要求其提供帮助遭到拒绝后,便在纽约向美国当地法院提起诉讼。经调查后发现,由于Register.com公司在安全防护协议方面存在漏洞,使得黑客“轻易”突破了Register.com公司的安全防护,从而导致了百度的域名被盗。

最终,经多次调节后双方达成和解, Register.com公司赔偿百度的损失,并且正式向百度公司发布公开道歉声明。

个人网站案例:天上人间动漫网域名被盗

godaddy-apologizes-for-outage-gives-customers-one-month-credits-571bbb454e

天上人间动漫网,创立于2005年,因网站管理者对密码安全不够重视,在2007年初域名曾被盗。拿回域名后,于2009年转移至国外域名商 GoDaddy。但由于在Godaddy上使用了与CSDN相同的用户名和密码,而因为2011年CSDN密码泄漏,导致Godaddy帐号被盗,该黑客又利用 Godaddy本身的漏洞来进行过户,Godaddy无法给用户发送邮箱,而且该站长没有定期查询网站信息的习惯,因而域名持有人对被盗事件一无所知,使得域名信息被篡改,最终导致域名被盗。

发现域名被盗后,这名站长先是联系了域名商Godaddy,但对方不予处理。之后又通过律师向Godaddy发送律师函,但依旧无果。随后,他又到司法机关报案,但公安局以“虚拟财产无法估量价值,而且没有先例,无立案标准”为由一 再推脱立案。无奈之下站长又ICANN投诉,最终拿回了被盗域名!

企业网站案例:国人两个珍贵2数字.com域名被盗

1

2011年,某科技公司发现属于自己公司的两个珍贵域名22.com和90.com被盗,且转移至国外域名商处,随后域名原持有者向警方报案。

据悉,域名盗窃者首先是通过网络工具获取了该域名的注册信息,以及持有人的身份信息,而后谎称自己是该邮箱的所有者,联系了域名商,以密码丢失等理由骗取了域名管理邮箱的控制权限。之后,又伪造了域名所有者的签名和身份信息,从域名托管商处骗取了域名转移码,最终将两个珍贵域名转移至其他域名商处。

经过警方的调查,该公司最终拿回了上述两个域名,而法院也依法对域名盗窃者判处有期徒刑十年,并处罚金人民币10万元。

域名被盗究竟谁之过?

导致域名被盗的原因有很多,但归根结底问题还是出在域名注册商和域名持有人的身上。

一、域名注册商

首先,部分域名注册平台的管理机制不够完善,工作人员不够负责,在域名管理、域名过户、以及域名转移等方面的监管力度严重不足,而且转移过程的手续过于简单,都留下了很大的安全隐患。

就如案例一中的情况,黑客假冒百度员工,要求客服代表更改百度的电子邮件地址,且使用编造的确认码“欺骗”Register.com的客服,而该客服人员竟在没有检查确认码真假的情况下,便同意了该名黑客的要求,修改了百度的注册信息。案例三中的域名盗窃者使用伪造的域名所有人的签名和身份信息骗过注册商的客服人员也说明了这个问题。

其次,很多域名注册平台的安全机制环节过于薄弱,在这种情况下,只要域名管理账户被盗,或是域名注册关联邮箱被盗,都可能会导致域名被盗。

就如案例二中所描述的,由于用户资料被盗,账户密码均被泄露,从而导致了域名管理系统账号遭窃,进而轻松盗取域名。实际上,Godaddy出现域名被盗事件已经不是个案,且很多域名注册平台都存在跟Godaddy一样的问题。

再次,就是一些域名注册平台本身存在漏洞,导致用户资料泄露,从而导致域名被盗。

比如案例一的情况,由于Register.com公司在安全防护协议方面存在漏洞,使得黑客“轻易”突破了Register.com公司的安全防护,从而导致了百度的域名被盗。

而在案列二中,也正是黑客利用了Godaddy本身的信息变更漏洞,才导致域名转移过程中,域名持有人没有接收到来自Godaddy的邮件。还有,近几年CC域名频繁被盗的原因,也正是由于CC域名运营管理系统本身存在安全漏洞导致。

据知情人士透露,近期站长向站长之家反馈的大量域名被盗事件中,不法分子也是通过“合法”的程序将域名转移到eNom和GoDaddy平台的。域名被盗过程的大致情况是:黑客领用域名注册平台的漏洞窃取了用户的域名账户信息,并利用这些信息资料伪造了域名转移申请表,从而造成了转移过程“资料齐全,手续合法”的假象。因为经过了“域名注册人”的身份信息授权,这一域名转移过程是完全“合法”的,也符合注册流程。虽然并不是真正域名持有者进行了域名转移操作,但因为域名服务商系统漏洞问题,导致域名转移过程符合正规化操作,从而让域名被盗。

未标题-2

域名转移申请表(例表)

而这一切都说明了域名注册商在域名被盗事件中有着不可推卸的责任。

二、域名持有人

当然,域名被盗除了域名注册商的责任外,域名持有人本身的安全意识,个人习惯等也很可能会直接导致域名被盗事件的发生。

1、大多数用户的域名保护意识淡薄,对域名没有采取特别的安全保护措施,甚至抱着任之随之的态度。

就好比案例二中的情况,该域名持有人在Godaddy上使用了与CSDN相同的用户名和密码,因为CSDN密码泄漏,从而导致Godaddy帐号被盗。这说明了域名持有人的安全意识很可能会成为域名被盗的导火索。

2、域名持有人在域名注册时,对注册信息不够重视,导致资料含糊,甚至是缺失。

比如很多站长在域名注册时不够重视,注册人、公司、以及所在地址等信息填写得不够完整,或是存在错误信息。甚至有站长在域名备案时还使用了与域名注册时不同的注册人信息。无效,含糊不清的注册信息不仅会让黑客更容易得手,而且还会让找回域名变得更加困难。

3、大多数用户并没有定期检查域名管理帐户和域名whois信息的习惯,甚至从域名注册之初域名管理帐户就长期使用通用密码。虽然通常情况下,站长不需要频繁的登陆域名管理系统,不需要对域名信息进行修改,长时间不登陆也很正常,但是就因为这样的管理习惯却给域名被盗留下了隐患。

除了上述原因外,国家法律法规也是一个问题,虽说有规定称“盗用他人网络域名,构成经济损失的,应追究盗窃者的刑事和民事责任”。但实际上,世界上连一部专门针对域名保护的法律都没有,而立法之日亦是遥遥无期,从而造成了域名被盗案件“无法可依”的窘境。很多域名被盗案件中,司法机构都以“虚拟财产无法估量价值、没有先例、无立案标准”为由拒绝受理此类案件,这样一来,无疑也让不法分子更加猖狂,让域名持有人更加心寒。

还有站长表示,由于ICANN要求国际域名注册信息须提供给公众查询(包括注册人的联系电话、电子邮件和联系人姓名等信息),且严格要求域名的信息真实准确。只要用户域名注册成功,这些重要的信息都会在域名数据库中公开展示,这也给域名被盗留下了间接的隐患。

域名被盗如何找回?

“域名被盗维权难”本就是一个公开的秘密,域名找回过程更是一场“持久战”。由于缺乏相关法律法规的保护,域名被盗后,最好的办法便是找域名注册商申诉。一般来说,申诉期是在帐户或域名被盗后15天之内,在15天内联系域名注册商并提交相关证据,就能撤消之前的变更。如果申诉流程比较复杂,站长需尽快申请锁定域名,避免黑客更改ip指向,保障域名不被用于诈骗等犯罪活动。

那么,在发现域名被盗后,域名所有人具体该做些什么呢?

1、首先、若发现被盗域名已被转移,应该先联系原注册商,要求他们联系当前注册商协助锁定域名,防止域名信息被修改或者再次被转出。

这一过程需要向原域名注册商说明情况,并且提供域名所有人身份证明及其他一切能证明域名所有者的材料,最好能提供如域名注册邮件、续费记录、域名历史 whois记录、网站程序和历史页面截图等在内的相关证据。

若是国外域名注册商,则需提供驾照和身份证翻译件。

注意:身份证的翻译一定得是经过正规翻译公司的翻译,且需要带有正规的双语公章。

只要原注册商认定域名转移并非合法的,他们就会与新注册商协商域名转回问题。

2、其次、域名持有人也可自行联系当前域名注册商,最好能够向当前域名注册商提供域名注册成功的邮件,域名注册时的银行打款记录,域名续费时的打款记录等等一切能够证明域名持有权的信息。

比如,Godaddy上的域名被盗,首先应该以英语的形式将原帐户名,会员ID(customer number), 被盗域名, 帐户所有人的名字,是“个人”还是“公司”等信息表述清楚,具体如下:

Godaddy Account ID: (客户编号)Sign-up email: 你注册时的电子邮件地址

Sign-up password: 密码

Account First Name: 名字

Account Last Name: 姓氏

Address: 居住地址

Call-IN PIN: 注册时填写的是多少

The follow domain is in my account:账户下域名

Some of the payment messenge:购买记录和账单信息

最好能将域名盗过程及原因等情况尽可能详细的描述处理,整理成文档的形式,然后将所有的资料一同以邮件的形式发到邮箱undo@godaddy.com上。

对方收到邮件后便会回复一封带有附件(GD Undo Form.pdf)的邮件,大致内容如下图:

QQ图片20140331173815

再次、在Godaddy上,即使找回了被盗域名也不能转移到原先的账户中,因而域名持有人需在Godaddy上注册一个新的账户,且需要把新帐户的会员ID(customer number)发给域名商,并把邮箱中附件(GD Undo Form.pdf)签名处以字母全拼的形式填写用户姓名(最好也注明中文姓名),再附上身份证,以及经过正规翻译公司翻译且带有正规双语公章的身份证翻译件,若域名账户是属于公司所有,则还需要公司营业执照副本的扫描件,以及相关资料的翻译件。

最后,若用户提供的资料没有问题的话,3天左右被盗域名便可被push至用户的新账户下。如果原账户会员名提供有误,UNDO部门会再向用户发送一封带有(GODADDY UNDO COMPANY DECLARATION FORM.pdf)附件的邮件,用户按照正确的形式填写后回复给对方。不出意外,便可拿回域名!

3、但很多情况下原域名注册商和当前注册商双方都会不断的推脱责任,并且一拖再拖,这时就应该通过法律途径来解决问题了。可请律师向原域名注册商和当前域名注册商发送律师函,并且附带上相关证据(域名注册成功的邮件,续费记录、域名历史whois记录、网站程序和历史页面截图等)和身份证件,借此向域名商施加压力。同时还可以通过网络和媒体来增加事件的曝光率,这样更能够引起域名注册商的重视。

4、由于国家对网络域名有明文规定“如同商标一样,域名有其唯一性,盗用他人网络域名,构成经济损失的,应追究盗窃者的刑事和民事责任”。因此域名被盗后也可以到公安局要求立案,再由此要求域名注册商配合调查

据了解,域名被盗事件立案的流程很严格,要求提供具体损失金额,而域名这类虚拟财产则需要需要物价局或其他有资质的机构出具的资产评估报告,如会计师事务所或资产评估公司,且评估资料必须符合规定才能立案。

注意:相关的网站价值评估资料必须有物价局或其他政府部门颁发资质认证才能作为司法用途,否则根本无法立案。然而在很多情况下,很可能会遇到以“虚拟财产无法估量价值,而且没有先例,无立案标准”为由拒绝立案的司法机关。

5、若是上述方法均无法解决问题,可以尝试向ICANN投诉或向CNNIC投诉(备注:国际顶级域名被盗可以向ICANN投诉,如果是.CN域名、中文域名被盗则需向CNNIC投诉)。

投诉地址:

ICANN投诉通道:

http://reports.internic.net/cgi/registrars/problem-report.cgi

选择其中的“域名迁移”选项,该选项包括了“欺诈转让”。

CNNIC投诉通道

http://cnnic.cn/ggfw/fwzx/

中国互联网信息服务中心网址。

域名转移申诉表:

ICANN:http://www.icann.org/en/resources/compliance/complaints/transfer/form

CNNIC:http://cnnic.cn/ggfw/fwzx/201206/P020120617699631482490.pdf

因为ICANN的政策中有明确表明:

“注册商应采取合理的预防措施防止个人资料丢失、被滥用、被未经授权擅自访问或泄露、被更改或被破坏。”

“注册商必须就其拟如何使用已注册域名持有人提供的数据以及谁将收到该等数据发出通知。注册商还必须就已注册域名持有人访问和更新数据的方式发出通知。此外,注册商必须确定已注册域名持有人必须向其提供的数据点以及可自愿提供的信息。”

“如果能证明是欺骗性转让,注册商可以禁止该转让。”

而CNNIC也有类似的政策说明。因此,只要ICANN或CNNIC判定域名被盗情况属实,便会帮助域名持有人同注册商协调,并跟进调查情况。

5、若依旧无法引起重视,则可申请域名仲裁,只要仲裁一开始便会锁定域名,而域名仲裁最长的裁决时限是60天!

1、已获ICANN批准的争议解决服务提供商的列表:http://www.icann.org/zh/help/dndr/udrp/providers

2、国内域名仲裁机构主要有三个机构,除中国国际经济贸易仲裁委员会域名争议解决中心和香港国际仲裁中心两个机构外,亚洲域名争议解决中心也在国内仲裁三大机构之中,该仲裁机构由中国国际经济贸易仲裁委员会,香港国际仲裁中心及韩国互联网地址争议解决委员会联合成立。查看国内争议解决服务提供商的列表:http://cnnic.cn/ggfw/fwzx/ymzyjjjg/

域名安全如何维护?

保证域名安全,防止域名被人非法转移和恶意解析迫已经迫在眉睫。不是域名注册成功后就万事大吉,一定要定期检查域名服务器系统。还有,域名安全一定要防范于未然,预防往往是解决危机的最好办法,保障域名安全,提升网站安全属性需要注意以下几点:

QQ图片20140421181244

1、选择合适的域名注册商。

并非所有的域名注册平台都有所保障,随着问题漏洞的累积,未来也可能会出现更多的弊端来,因此,选择一个安全的域名服务平台尤为重要。一个好的域名注册对域名的管理方面,域名过户转移方面都有严格的规章制度,所以域名也就不会被轻易的被劫持走。所以说,域名所有者一定得慎重选择域名注册商,这样不仅能保证了 域名财产安全,还可以防止域名盗窃的发生。当然,也不是说域名注册机构的名气越大就越好,同样相对便宜的注册价格也不一定就能减少成本,服务和规范性才是域名安全的重要考核指标。

2、保障相关域名账号密码安全。

大多数域名被盗的情况都是由于域名注册邮箱先被盗,继而导致域名被盗,因此保护邮箱安全是域名安全的最重要的措施。对于域名注册邮箱需要设置单独的密码,长度最好在16位以上,并且密码中包含有大写字母、小写字母、数字和特殊字符。

实名认证、捆绑手机、邮箱改密通知、收到邮件短信通知等都是保障邮箱安全的有效手段,使用至少2个邮箱来绑定或申请网络服务,并确保邮箱密码不重复使用。注意千万不要在网上泄露网站相关的重要信息,最好每隔一段时间更改一次密码,以免遭人窃取。

此外,由于域名的注册人信息和注册人邮箱是域名拥有权的重要依据,最好填真实的信息,如果填虚假的信息,一旦域名被盗将很难拿回。

3、合理使用验证工具。

为防止用户由于帐号密码泄漏或者域名注册信息被黑导致域名被取回等问题发生,就必须随时掌控域名账号安全。有些域名服务商提供安全验证措施,使用二次验证工具可以防止某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试。例如,DNSPod的D令牌除了需要输入原有的账户密码外,还需要输入一个动态的密码,最大限度地提升自身账户的安全性,保护自己的域名安全。

结语:

切记,互联网没有绝对的安全,任何时候都不要放松警惕,没有绝对安全的网站,也没有绝对安全的系统。形成良好的上网习惯、提高互联网安全意识,才是减少域名被盗可能性的最佳方式!在此,也呼吁立法机关能够完善域名相关法律法规,为域名被盗案件提供更有力的法律保障。

标签:

给我留言