Прошу помощи, пытаются угнать домен

123 4
D8
На сайте с 28.11.2019
Offline
15
1214

Друзья, за много лет подобная ситуация происходит впервые, прошу вашей помощи.

Домен в международной зоне.

Сегодня на почту приходит письмо от регистратора (resellerclub.com) с требованием подтвердить почтовый адрес по ссылке в письме, в противном случае через 15 суток домен будет деактивирован.

Запрос на подтверждение пришел не просто так, причина:

«Это уведомление отправляется в связи с регистрацией, передачей или изменением информации WHOIS в вашем домен»


Полный текст письма:


ResellerClub Sales Team

automail@resellerclub.com

Dear Customer,

Your email address, [почта], has been set as the Registrant contact for 1 domain names registered through ResellerClub-EST. Please click on the following link to verify your email address. By clicking on the following link you are agreeing to Terms of Services.

[ссылка]

This notice is being sent due to the registration, transfer, or change to the WHOIS information on your domain(s). Please note that failure to verify the Registrant contact email address will lead to deactivation of the respective domain name(s) if not completed within 15 days from the date of that action. Once deactivated, the domain names will not function until the email address is verified.


Следом через 5 мин приходит еще одно письмо:(в двух словах регистратор получил запрос на изменение данных в whois домена, и нужно подтверждение по ссылке)


Do Not Reply

do_not_reply@myorderbox.com


Dear Registrant,

ResellerClub-EST has received a request on 2020-**-** to update the Registrant contact information for the domain name [url]. In an effort to maintain valid records and avert fraudulent activity, ICANN requires that we verify the new information before submitting it to the registry.


The registrant information is to be updated from:

Current Registrant Information
Name: ***
Company: ***
Email: [наша почта]

To:

New Registrant Information
Name: ***
Company: ***
Email: [левая почта мошенника]


To approve or decline these changes, please click on the link below:

[ссылка]

Please note that, if you do not respond by 2020-**-**, the request to update registrant information will be canceled and the registrant contact information will not be changed.

IMPORTANT: Both parties must approve the changes before we can submit the new record to the registry. If the email address did not change, you will receive both emails.



Не могу понять, каким образом была мошенниками инициирована смена WHOIS информации? Логи почты проверили - каких-либо входов с левых ip не было. Аналогично с кабинетом регистратора. 

Как правильно поступить, чтобы ничего не упустить и не потерять домен? Благодарю и надеюсь на помощь, спасибо!


Vladimir
На сайте с 07.06.2004
Offline
381
#1

Dmitry8602 :

с требованием подтвердить почтовый адрес по ссылке в письме, в противном случае через 15 суток домен будет деактивирован.


Ключевая фраза - подтвердить почтовый адрес по ссылке в письме , должна настораживать всегда.
Зайти обычным способом на resellerclub.com, найти выставить запреты, сменить пароли. Явно есть поддержка, задать им вопрос, быстрее решите все вопросы, чем здесь гадать на кофейной гуще

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
D8
На сайте с 28.11.2019
Offline
15
#2
Nadejda #:
Ключевая фраза - подтвердить почтовый адрес по ссылке в письме , должна настораживать всегда.

Разумеется, изначально показалось, что обычный спам, но уточнили у своего регистратора -  resellerclub действительно является их партнером по международным зонам. По ссылкам в письме не переходили, но урлы внимательно посмотрели, они ведут на реальный сайт реселлерклаба. То есть каким-то образом кто-то смог инициировать смену whois информации. Каким только способом, ума не приложу.

Vladimir
На сайте с 07.06.2004
Offline
381
#3
Dmitry8602 #:

Разумеется, изначально показалось, что обычный спам, но уточнили у своего регистратора -  resellerclub действительно является их партнером по международным зонам. По ссылкам в письме не переходили, но урлы внимательно посмотрели, они ведут на реальный сайт реселлерклаба. То есть каким-то образом кто-то смог инициировать смену whois информации. Каким только способом, ума не приложу.

В любом случае с поддержкой работайте
Недавно тема была по Reg ru, там такие подводные камни...
WebAlt
На сайте с 02.12.2007
Offline
220
#4
Это развод.
Промокод на скидку 25%: [ 64821976 ] на сайтах: [ https://firstvds.ru ] - виртуальные серверы; [ https://1dedic.ru ] - выделенные серверы; [ https://ispserver.ru ] - хостинг, VPS/VDS, выделенные и облачные серверы с полным администрированием.
0pium
На сайте с 21.11.2009
Offline
256
#5
А что поддержка resellerclub говорит?
E
На сайте с 23.10.2008
Offline
191
#6

Обычный скам. 
Либо ссылка ведёт на какую-то вирусную, разводную тему (где надо ввести данные). Либо как-то инициировали сброс пароля/данных и чего угодно на почту, ну как обычно меняют email, логин и тд, когда на почту приходит ссылка для подтверждения смены данных.

Служебные заголовки письма посмотрите, станет ясно.

Регистратор в личном кабинете дополнительно уведомит, отправит сообщение, если какие-то вопросы возникнут.

Dmitry8602 :
Следом через 5 мин приходит еще одно письмо:(в двух словах регистратор получил запрос на изменение данных в whois домена, и нужно подтверждение по ссылке)
А, ну вот. Просто сброс делают и подтверждение по почте пришло. Каким образом - спрашивайте у регистратора, конкретно почтового ящика не касается. Может как-то логины, email'ы у регистратора перебирают.
Александр
На сайте с 17.07.2009
Offline
370
#7
Домен в какой зоне?
Сайты на WordPress тут просто летают! (https://vk.cc/atAGUU)
D8
На сайте с 28.11.2019
Offline
15
#8
0pium #:
А что поддержка resellerclub говорит?

Ожидаем ответ, пока что молчат.

eavy #:
Обычный скам. 
Либо ссылка ведёт на какую-то вирусную, разводную тему (где надо ввести данные). Либо как-то инициировали сброс пароля/данных и чего угодно на почту, ну как обычно меняют email, логин и тд, когда на почту приходит ссылка для подтверждения смены данных.

Да, тоже был уверен, что скам, поскольку внимательно несколько раз пересматривал все логи - чистота, только наши айпишники. Почта хорошо защищена, привязан номер телефона. При входе с другой страны запрашивает ввод последних цифр номера телефона (который нигде больше не используется, злоумышленник не может его знать). Плюс каждый раз при входе с нового устройства приходит уведомление. Но никаких уведомлений в тот день не было.


Ситуация следующая - злоумышленник смог увести домен, сменил whois на свои данные. Возможность контроля домена в кабинете утеряна. Поддержка моего реселлера пока что пожимает плечами, так же ожидает ответа от реселлерклаба. 


В правилах нашего реселлера четко написаны условия переноса домена от одного лица другому: только через письменное заявление, с подписями и т.д. Ничего из этого разумеется злоумышленником сделано не было. Т.е. каким-то образом найдена дыра, через которую он смог обойдя реселлера перенести домен на свой акк регистратора.


Я читал множество историй о угонах международных доменов, но эта история не похожа ни на одну. 

LevShliman
На сайте с 03.09.2018
Offline
94
#9
Dmitry8602 #:

Ожидаем ответ, пока что молчат.

Да, тоже был уверен, что скам, поскольку внимательно несколько раз пересматривал все логи - чистота, только наши айпишники. Почта хорошо защищена, привязан номер телефона. При входе с другой страны запрашивает ввод последних цифр номера телефона (который нигде больше не используется, злоумышленник не может его знать). Плюс каждый раз при входе с нового устройства приходит уведомление. Но никаких уведомлений в тот день не было.


Ситуация следующая - злоумышленник смог увести домен, сменил whois на свои данные. Поддержка моего реселлера пока что пожимает плечами, так же ожидает ответа от реселлерклаба. 


В правилах нашего реселлера четко написаны условия переноса домена от одного лица другому: только через письменное заявление, с подписями и т.д. Ничего из этого разумеется злоумышленником сделано не было. Т.е. каким-то образом найдена дыра, через которую он смог обойдя реселлера перенести домен на свой акк регистратора.


Я читал множество историй о угонах международных доменов, но эта история не похожа ни на одну. 

злоумышленник или сам админ или модераторы или кто то получил доступ к регистратору в админку

Живой трафик на сайт, наращивание поведенческих факторов и соцсигналов бесплатно https://superbuks.ru/
V
На сайте с 20.09.2009
Offline
118
#10
Dmitry8602 #:

Поддержка моего реселлера пока что пожимает плечами

а реселлер кто?

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий