Не по интернет-адресу
Злоумышленники активно интересуются доменами российских компаний
На долю доменов российских компаний пришлось более 75% всех запросов whois-сервиса «Руцентра» в первом полугодии 2025 года. Эксперты связывают это не столько со спросом на конкурентную разведку, сколько с активизацией злоумышленников, для которых корпоративные домены становятся «отправной точкой атак» — от киберсквоттинга до компрометации почты и утечек данных.
Фото: Антон Новодерёжкин, Коммерсантъ
Фото: Антон Новодерёжкин, Коммерсантъ
Анализ данных whois-сервиса «Руцентра» за первое полугодие 2025 года показал повышенный интерес к доменам российских компаний. При общем показателе 51,8 млн запросов более 39 млн пришлось именно на домены, принадлежащие юридическим лицам. Средняя интенсивность мониторинга на один корпоративный домен вдвое превышает аналогичный показатель для доменов физлиц.
- При этом количество уникальных IP-адресов, с которых осуществлялись запросы, составляет за период всего 3,2 млн. Лишь 3% из них происходят из России. Основной объем активности (30%) генерируется из США.
- Около 15 тыс. адресов в квартал классифицируются службой ИБ «Руцентра» как сомнительные.
- Среди них 65% ассоциированы со средствами анонимизации трафика, 30% связаны с известной вирусной активностью, а 5% приходятся на IP-адреса, связанные со спам-рассылками, центрами управления ботнетами и организованными хакерскими группировками.
Такая активность, как отмечают в сервисе, указывает на систематический сбор информации о доменах бизнеса, что создает ряд серьезных угроз. Среди прочего это возможность легитимного перехвата домена (киберсквоттинг) после истечения срока его регистрации с целью последующей перепродажи изначальному владельцу.
Однако главная угроза — компрометация аккаунта администратора, отмечает директор по ИБ «Руцентра» Сергей Журило. «Это дает злоумышленнику не только доступ к домену, но и возможность перехвата корпоративной почты бизнеса. Результатом становится утечка критических данных о компании и ее клиентах. Скомпрометировать аккаунт можно разными путями: от взлома почты ответственного сотрудника до методов социальной инженерии»,— добавил он.
Инструменты для быстрого сбора данных и анализа таких активов позволяют узнать не только IP-адреса, домены и поддомены организации, но email-адреса, телефоны, ASN-номера (уникальные глобальные идентификаторы организаций для ускорения маршрутизации трафика) и CIDR-диапазоны (способ обозначения блока IP-адресов, относящихся к деятельности одной организации) и многое другое, отмечает директор по продуктам Servicepipe Михаил Хлебунов. По его словам, несмотря на то, что таким анализом доменов могут заниматься конкуренты, корпоративная разведка обычно носит точечный характер, а массовый мониторинг интенсивности, обозначенной в исследовании, чаще всего имеет злонамеренный характер.
По оценке компании «Спикател», только 60–65% операций с данными доменов — это законные действия, включающие конкурентную разведку, мониторинг безопасности, аудит и маркетинговые исследования.
Оставшаяся треть запросов связана именно с потенциальными киберугрозами: фишинг, киберсквоттинг, подготовка атак, сбор данных для взлома.
Необходимость борьбы с доменным мошенничеством стала особенно актуальна, по словам директора департамента расследований T.Hunter Игоря Бедерова, после того как Верховный суд РФ обязал предпринимателей самостоятельно выявлять и пресекать интернет-мошенничество с использованием их реквизитов, бренда, фирменного стиля и схожих доменных имен (о чем сообщало РАПСИ 31 июля 2025 года). Но поддержка собственного мониторинга цифровых активов требует значительных ресурсов и обычно доступна только крупным компаниям, отмечает руководитель расширенного исследования угроз «Лаборатории Касперского» Никита Назаров. Эксперт считает, что оптимальным решением может стать гибридный подход: использование внешних сервисов для широкого мониторинга и собственных систем для детального анализа и реагирования.