חטיפת שם מתחם (Domain hijacking) היא פעולת התקפה שבה שם המתחם של גורם מסוים נגנב על ידי גורם אחר. מדובר בצורה מסוימת של cybersquatting, המבוססת על שינוי רישום שם המתחם מבלי לקבל את רשותו של הבעלים המקורי שלו. חוטפי שמות מתחם עושים שימוש בחטיפת שם מתחם על מנת לגנוב תנועה מאתרים עתירי תנועה או על מנת לסחוט כסף מהגורם המזוהה עם שם המתחם. חטיפת שם מתחם מהווה איום רציני שעלול לגרום לנזקי מוניטין ולנזקים פיננסיים משמעותיים לבעל שם המתחם.
יובהר כי חטיפת שם מתחם היא פעולה שונה מגניבת שם מתחם או תפיסת שם מתחם – פעולה של רכישת שם מתחם פנוי אשר מזוהה עם גורם שונה מהגורם הרוכש (התייחסות לפעולות אלה יש במאמר אחר שכתבנו בנושא).
במאמר זה נבחן מהי חטיפת שם מתחם, מהן ההשלכות של חטיפת שם מתחם וכיצד ניתן לשחזר שם מתחם שנחטף.
מהי חטיפת שם מתחם?
חטיפת שם מתחם היא גניבה או שינוי ברישום של שם המתחם מבלי לקבל הרשאה מבעלים המקורי של שם המתחם. חטיפת שם מתחם עשויה להיות גם ניצול לרעה של הרשאות שנמצאות הן במערכות האירוח של שם המתחם והן במערכות תוכנת הרשם.
חטיפת שם מתחם מסייעת לחוטף לסחוט כסף מהגורם המזוהה עם שם המתחם על מנת למכור לו את שם המתחם שלו. חטיפת שם מתחם מאפשרת גם "להיכנס" לעסק המסחרי של גורם אחר, לקהל שלו, לרווחים שלו, לדוא"ל שלו וכדומה, ולנצל בצורה לא הוגנת ומטעה את המוניטין של הגורם המזוהה עם שם המתחם.
ישנן מספר דרכים בהן נעשית חטיפת שם מתחם:
הדרך הראשונה, והנפוצה ביותר, היא הנדסה חברתית (פישינג). החוטף עשוי ליצור קשר עם בעל שם המתחם כמתחזה של רשם שמות המתחם או עשוי לגרום לו למלא את המידע הדרוש בדף התחברות מזויף. כמו כן, החוטף עשוי לגרום לרשם שמות המתחם להעביר לו את השליטה על שם המתחם על ידי התחזות לבעל שם המתחם.
חטיפת שם מתחם עשויה להיעשות גם על ידי השגת גישה לא חוקית או ניצול של פגיעות נפוצה של אבטחת סייבר במערכת רשם שמות המתחם. שימוש בתוכנה מיושנת מהווה סיכונים גבוהים מכיוון שהיא עלולה להיות פגיעה לניצול סיסמאות חלשות או להתקפות SQLi.
כמו כן, חטיפת שם מתחם עשויה להיעשות על ידי השגת גישה לכתובת הדואר האלקטרוני של בעל שם המתחם ולאחר מכן שינוי הסיסמה ברשם שמות המתחם.
ברגע שחוטף שם מתחם משיג גישה לשם מתחם, הוא יכול להשתמש בו למטרות זדוניות כגון מכירתו לצד שלישי, הפצת תוכנות זדוניות, ביצוע התקפות פישינג, השקת קמפיינים באמצעות דואר זבל, הונאות הנדסה חברתית או פעילויות פשעי סייבר.
מהן ההשלכות של חטיפת שם מתחם?
לחטיפת שם מתחם ישנן השלכות הרסניות על העסק של בעל שם המתחם המקורי:
נזקים פיננסיים – שם מתחם הוא אחד הנכסים היקרים ביותר עבור חברות מסחר אלקטרוני. חברות מסחר אלקטרוני, המסתמכות על אתר האינטרנט שלהן לעסקים, עשויות להפסיד המון כסף כאשר הן מאבדות שליטה על שם המתחם שלהן.
נזקי מוניטין – חוטפי שמות מתחם עשויים להשתמש בשם המתחם על מנת למכור מוצרים ושירותים מתחרים או על מנת לבצע התקפות סייבר נוספות כגון התקנת תוכנות זדוניות או התקפות הנדסה חברתית.
נזקים רגולטוריים – חוטפי שם מתחם עשויים להחליף את דף האינטרנט המקורי בדף אינטרנט זהה שנועד ללכוד נתונים רגישים או מידע אישי (פישינג) כגון פרטי חשבון, פרטי התקשרות מידע אישי ועוד.
כיצד ניתן לשחזר שם מתחם שנחטף?
כאשר שמות מתחם נחטפים, ישנם מספר פעולות בהן ניתן לנקוט על מנת לשחזר את השליטה על שם המתחם.
פנייה לרשם
היכולת לשחזר שם מתחם שנחטף תלויה במה הרשם של שם המתחם הספציפי יכול לעשות כדי להפוך את המתקפה. לעיתים ישנה אפשרות להחזיר פרטי רישום לבעלים המקוריים. כך, ניתן ליצור קשר עם רשם שם המתחם הספציפי, ואם הרשם יכול לאמת שהעברת שם המתחם היתה הונאה, הוא יכול להחזיר את שם המתחם לבעליו המקורי.
הדבר נעשה קשה יותר כאשר החוטף הצליח לעבור לרשם אחר, ובעיקר אם החוטף הצליח לעבור לרשם באזור שיפוט אחר.
מדיניות יישוב המחלוקות של ה-ICANN
כאשר שם מתחם גנוב מועבר לרשם אחר, ניתן לבקש מהרשם הספציפי של שם המתחם ליישם את מדיניות יישוב המחלוקות בהעברת רשם (Registrar Transfer Dispute Resolution Policy) של ה-ICANN (Internet Corporation for Assigned Names and Numbers) על מנת לדרוש בחזרה את הבעלות על השם.
אפשרות נוספת היא לשחזר שמות מתחם חטופים באמצעות מדיניות אחידה לפתרון מחלוקות שמות מתחם (Uniform Domain Dispute Resolution Policy (UDRP)) של ה-ICANN, אך ייתכן שמדיניות זו לא תתאים למקרים של חטיפת שמות מתחם.
כמו כן, ניתן לפנות ל- Domain Name System (DNS) Abuse Deskשל ה-ICANN על מנת לקבל עזרה והדרכה כיצד לשחזר את שם המתחם החטוף.
פנייה לערכאות שיפוטיות
גם לבתי המשפט יש סמכות לדון בהליכים של החזרת שם מתחם לבעליו. פנייה לבית המשפט מומלצת בדרך כלל במצב בו הליכי DRP אינם יכולים לתת מענה יעיל ומהיר לבעיה.
דוגמה לחטיפת שם מתחם – חטיפת שם המתחם Perl.com
שם המתחם Perl.com, אשר היה האתר הרשמי של שפת התכנות Perl, נוצר בשנת 1994 ונרשם אצל הרשם key-systems(.)net.
בחודש ספטמבר 2020 חוטפים השתלטו על שם המתחם Perl.com. בחודש דצמבר 2020 החוטפים העבירו את הבעלות בשם המתחם perl.com לרשם שמות המתחם הסימני Bizcn.com אך שרתי השמות לא שונו כדי למנוע זיהוי של הפעילות הזדונית. בחודש ינואר 2021 החוטפים העבירו שוב את הבעלות בשם המתחם לספקית אירוח שמות המתחם הגרמנית Key-Systems GmbH. בנוסף הם שינו את השרתים מ-Bitnames ל-Afternic והפנו אותו לכתובת IP שהיתה מעורבת בקמפיינים של תוכנות זדוניות בעבר, כולל הפצת תוכנות הכופר של Locky. מדובר במקרה קלאסי של חטיפת שם מתחם.
זמן קצר לאחר ההעברה השנייה, שם המתחם Perl.com הוצע למכירה על ידי החוטפים תמורת 190 אלף דולר באתר afternic.com.
בתחילת פברואר 2021 הבעלים המקורי של שם המתחם Perl.com, טום כריסטיאנסן, השיג בחזרה את השליטה המלאה על שם המתחם.