Wchodzisz na stronę parafii, a tam... pornografia lub kasyno. Tak przejmowane są polskie witryny

• Wygasająca domena może być łatwo i legalnie przejęta przez inny podmiot.
• Przejęte domeny parafii czy szkół prowadzą do zupełnie innych miejsc, np. kasyn czy portali pornograficznych.
• Odzyskanie przejętej domeny po jej wygaśnięciu jest niezwykle trudne. Kluczowa jest prewencja.

Przenieśmy się na chwilę do kwietnia 2023 roku. Wówczas w domenie swietatrojca(.)org(.)pl znajduje się witryna jednej z parafii z Ząbek (pow. wołomiński), która działała w niezmienionej szacie graficznej przynajmniej od grudnia 2014 roku. Na Wikipedii zakładka „strona internetowa” wciąż przekierowuje użytkowników do tego samego adresu URL.

Problem w tym, że dziś nie ma tam już śladu po stronie ząbkowskiej Parafii Świętej Trójcy. Po wejściu na stronę wita nas… kasyno online. Celowo nie podajemy jego nazwy w artykule.

Perspektywa praktyka

O sprawie rozmawialiśmy z Pawłem Witkowskim, współautorem inicjatyw „Modlitwa w Drodze” czy „Pogłębiarka”, który od lat zajmuje się tematyką IT w Kościele.

„(…) przypadki utraconych domen w parafiach zdarzają się coraz częściej. W najlepszym przypadku są to gry, najczęściej pornografia albo ludzie, którzy chcą zarobić na odkupie” – zaznaczył w rozmowie z naszym portalem.

Witkowski podzielił się ważną obserwacją. W zeszłym roku napotkał aż 5 potwierdzonych przypadków przejęcia domen parafii w samej Archidiecezji Warszawskiej.

Nasz rozmówca wyróżnił potrzebę założenia podmiotu funkcjonującego na zasadzie kościelnego CSIRT-u, który zajmowałby się również m.in. budowaniem świadomości.

„Razem ze znajomymi stworzyliśmy fundację i wspieramy Kościół w sprawach komunikacji i bezpieczeństwa, w tym tego IT. Niestety w dalszym ciągu jest jeszcze wiele chałupnictwa i prowizorki…” – podkreśla.

W jednej z warszawskich parafii zwróciłem uwagę proboszczowi na to, że domena parafii nie należy do niej jako instytucji, tylko jest własnością parafianina. Jego reakcja była pozytywna - skorzystał i poprosił o wsparcie w tej kwestii.
Paweł Witkowski

Jak do tego doszło?

Zajrzyjmy w bazę WHOIS, która umożliwia zapoznanie się z informacjami dotyczącymi rejestracji domeny. Możemy tam znaleźć informację, że domena została zarejestrowana 17 marca br., zaś tydzień później miała miejsce ostatnia modyfikacja rekordów. Jak to możliwe?

Prawdopodobnie domena wygasła, a później została przejęta przez zupełnie inny podmiot. W pełni legalnie (co do samego procesu zakupu), ponieważ była w puli wolnych domen. Można w tym momencie zapytać: „Naprawdę nie ma mechanizmu, który by temu zapobiegał?”.

Taki mechanizm już funkcjonuje, co opisano na łamach NASK – podmiotu odpowiedzialnego za rejestr domeny .pl od 35 lat. Cały proces wygląda następująco:

• organizacja przestaje opłacać domenę;
• domena jest przez 30 dni chroniona przed wykupieniem (jest w stanie "kwarantanny");
• inna osoba rejestruje domenę.

„W wielu przypadkach poprzedni właściciele nawet nie zdają sobie sprawy, że ktoś przejął ich dawny adres” – podkreśla NASK.

Nie incydenty, lecz trend

W trakcie analizy udało się nam znaleźć kilkadziesiąt domen, które promowały kasyno internetowe. Pragniemy przybliżyć dwie z nich, wskazując ich historyczne użytkowanie:

Dlaczego to groźne?

NASK wskazuje jasno: przejęcie domeny zajmującej historycznie wysokie miejsca w wynikach wyszukiwania jest atrakcyjne dla osób, które chcą niskim kosztem rozpromować swoje treści.

„Dla osób zajmujących się spammingiem, phishingiem czy stronami dla dorosłych to łatwy sposób na zdobycie ruchu bez potrzeby budowania własnej rozpoznawalności” – podkreśla NASK.

Przejmowanie domen, poza propagowaniem treści, które zazwyczaj nie osiągają dużego organicznego (naturalnego) ruchu, skutkuje również możliwością przechwytywania przychodzącej korespondencji mailowej (zaadresowanej do przejętej domeny) bądź próbami wyłudzeń w oparciu o używanie zaufanej domeny.

„Do Dyżurnet.pl – zespołu, który w ramach NASK aktywnie monitoruje zagrożenia związane z bezpieczeństwem dzieci w internecie – trafiają zgłoszenia dotyczące domen, które wcześniej należały do szkół lub przedszkoli. Po wygaśnięciu nazw domen inne podmioty dokonywały ich ponownych rejestracji. W efekcie adresy placówek zaczęły prowadzić np. do stron z treściami pornograficznymi” – wskazuje w komunikacie NASK.

Jeżeli domena zostanie zarejestrowana przez osobę trzecią, osoba ta będzie mogła wysyłać i odbierać maile (...). Samo odbieranie maili może posłużyć do resetowania haseł w zewnętrznych usługach, przy użyciu funkcji "zapomniałem hasła".
Bezpieka.com

W przeszłości niejednokrotnie byliśmy świadkami przejmowania wygasłych domen, wykorzystywanych później do nieoczywistych celów. Przykładem może być domena grzegorzbraun(.)pl, której losy opisał portal Bezpieka.com. W 2024 roku strona służyła politykowi, zaś obecnie przekierowuje do narzędzia mającego „rozbierać” osoby z wykorzytaniem AI.

W 2017 roku wygasła domena „kppis(.)pl”. Niebezpiecznik stwierdził, że partia polityczna zapomniała jej przedłużyć. Do dziś pod tym adresem widnieje „Klub przyjaciół pieczywa i sera”.

Dwa lata później na łamach Zaufanej Trzeciej Strony opisano przejęcie domen dwóch sklepów internetowych, co docelowo miało służyć wykradaniu środków od osób, które chciały dokonać transakcji.

Jako ciekawostkę warto wspomnieć, że domena „microsoft(.)pl” przez kilka lat nie należała do amerykańskiego giganta, lecz pewnego polskojęzycznego użytkownika.

Czym są opcje?

W Polsce możliwe jest wykupienie opcji na domenę .pl. Pozwala to na „zapewnienie sobie pierwszeństwa do rejestracji domeny, po jej zwolnieniu przez obecnego abonenta”, zgodnie z opisem na portalu dns.pl. Bezpieka podkreśla, że:

• właścicielem opcji nie musi być jej właściciel;
• opcja kosztuje ok. kilkadziesiąt złotych na okres 3 lat;
• opcja zapewnia 14 dni pierwokupu na wygasłą domenę.

Przykładem domeny z zakupioną opcją jest „wp.pl”, istniejąca od 1998 roku. Gdyby ktoś zapomniał jej przedłużyć, właściciel opcji mógłby ją przejąć.

Zakup wygasłej domeny nie stanowi przestępstwa, lecz znane są przypadki batalii sądowych o domenę, np. żądania Apple do bezpłatnego przekazania jej domeny „ap.pl” (fonetycznie zbliżonej do nazwy firmy).

W sieci istnieje wiele stron, które umożliwiają zakup wygasającej domeny. Przykładem może być domena allegro[.]info[.]pl, która wygaśnie podczas pisania tego artykułu. Jej status w rejestrze WHOIS to „BLOCKED”.

Widzimy, że domena może być wykorzystana do przeprowadzenia ataku phishingowego i łatwo przejęta.

Jak się chronić?

NASK rekomenduje trzy poniższe kroki w ramach prewencji:

• pilnowanie daty wygaśnięcia domeny;
• rejestrowanie domeny na kilka lat („z góry");
• monitorowanie bezpieczeństwa strony i usług z nią powiązanych.

Wszystkim administratorom zalecamy korzystanie z portalu moje.cert.pl.

Spory dotyczące domen mogą być rozwiązywane przed sądem powszechnym bądź polubownym. Jednocześnie najlepszym sposobem zablokowania możliwości przejęcia domeny jest jej regularne przedłużanie oraz zakup na wiele lat. Odzyskanie wygasłej domeny w wielu przypadkach może okazać się bardzo trudne lub wręcz niemożliwe.

Jeśli domena nie zostanie odnowiona na czas, może zostać ponownie zarejestrowana przez inną osobę lub firmę. W takiej sytuacji nowy właściciel może wykorzystać ją w dowolny sposób – np. do kierowania użytkowników do szkodliwych lub nieodpowiednich treści.
NASK

Przed porzuceniem domeny, zawsze powinniśmy dobrze zastanowić się z czym to się będzie wiązało. M.in. pozamykajmy konta we wszystkich serwisach, w których podaliśmy maila używającego własnej domeny. Lub zmieńmy w nich adres przypisany do konta.
Bezpieka.com