Киберсквотинг является очень прибыльным бизнесом. Просроченные домены покупаются злоумышленниками с целью перепродажи, Black SEO или для распространения вредоносного контента. Компания Sucuri опубликовала в своем блоге статью о том, как злоумышленники зарабатывают миллионы долларов на просроченных доменах.
Расследование экспертов началось с обращения клиента в службу технической поддержки. Клиент пожаловался, что на его сайте отображается реклама “XWINNER COM” и попросил разобраться в инциденте и очистить сайт от вредоносного ПО. Анализ HTTP трафика показал, что сайт клиента подгружает картинки с сайта www.twomediaxthemes.com. Создавалось впечатление, что хакеры каким-то образом сумели внедрить ссылки на эти картинки в шаблоны сайта.
Однако подобные инъекции не являются характерными при взломе сайта. Более детальный анализ показал, что ссылки были добавлены на эти картинки самим разработчиком шаблона. На это указывали комментарии в коде и описании к шаблону сайта. Однако домен разработчика шаблона, больше ему не принадлежал. Сайт был припаркован на хостинговой площадке и распространял рекламные объявления. На любой запрос к сайту, сервер возвращал ответ HTTP 200 и отображал рекламное объявление.
Новым владельцем домена стала компания China Capital Investment Limited. Согласно данным DomainTools, именно эта компания владеет 107288 доменами. Сайт был расположен на сервере с IP адресом 104.130.124.96. Согласно тому же DomainTools, этот сервер обслуживает 196879 сайтов.
Средняя стоимость 1 доменного имени составляет $10 в год. Таким образом злоумышленники тратят на аренду доменных имен, принадлежащих China Capital Investment Limited примерно $1 млн. в год. А стоимость всех доменных имен на сервере превышает $2 млн. Если предположить, что рекламная кампания приносит в день с 1 сайта $0,15, общая прибыль за год с 1 сайта составит $54,75. Таким образом, на 200 тыс. сайтов в год злоумышленники зарабатывают более $10 млн. (Sucuri/NovostIT)