Чем опасны забытые корпоративные сайты?

Киберпреступники могут использовать заброшенные корпоративные сайты для вымогательства и фишинга.

Вы знаете, кто из ваших коллег отвечает за регистрацию доменов? Вы уверены, что никто, кроме них, никогда не регистрировал домен от имени вашей компании? Сотрудники больших организаций не всегда могут однозначно ответить на подобные вопросы. Даже ИБ-специалисты не всегда следят за этим. Последствия такого беспорядка несут потенциальные риски: когда истечет срок регистрации домена, им может воспользоваться кто-то еще.

Крупным компаниям следует быть особенно внимательными — им может потребоваться регистрировать разные домены для нескольких отделов. Мы знаем десятки подобных случаев: пиарщикам нужен сайт для благотворительного проекта; маркетологи хотят лендинговую страницу для запуска нового продукта; разработчики заводят веб-ресурс для конференций и хакатонов.

Итак, продукт успешно запущен, мероприятие прошло, кампания завершилась. Нетрудно догадаться, что будет дальше: все благополучно забудут про сайт. В некоторых случаях на заброшенном ресурсе продолжает работать механизм лидогенерации, привлекающий случайных посетителей. Но вот подходит к концу срок действия домена, и он вновь попадает в пул доступных для регистрации.

В теории отвечать за сайт должны те сотрудники, которые его регистрировали. Но под гнетом ежедневных забот и срочных дел они нередко забывают о такой задаче. К тому же ответственный может сменить должность или уволиться задолго до истечения срока регистрации домена. По всей видимости, проблему заброшенных сайтов просто не считают важной.

Что же может пойти не так?

На самом деле сайт-призрак — это кладезь возможностей. Во-первых, киберсквоттеры активно ищут домены с истекшим сроком регистрации. Заполучив тот, что когда-то принадлежал вам, преступники смогут сделать все что угодно с сайтом, название которого ассоциируется с вашей компанией. Раньше киберсквоттеры пытались договориться о возвращении доменного имени за вознаграждение. Сейчас они чаще всего размещают на сайте контент, который может навредить деловой репутации, и требуют выкуп за то, чтобы убрать его, или продают доменное имя фишерам в даркнете.

Конечно, при необходимости компания может отстоять свое право на доменное имя перед регистратором или через суд. Но это занимает время, в течение которого репутации компании может быть нанесен значительный ущерб.

Еще одна потенциальная проблема может быть связана с изменением локальных законодательств (например, с вступлением в силу GDPR). Если заброшенный маркетинговый сайт все еще работает и продолжает собирать информацию о клиентах, и при этом он не был приведен в соответствие с действующими законами, то вы можете столкнуться с исками и крупными штрафами.

Как избежать неприятностей

Для начала назначьте сотрудника из IT-отдела или ИБ-специалиста ответственным за регистрацию доменов. Этот человек будет вести учет всех онлайн-ресурсов компании и отслеживать даты истечения их срока действия. При этом другие сотрудники не должны ничего регистрировать без ведома ответственного. Если вы пользуетесь услугами сторонних подрядчиков для создания и поддержки ваших сайтов, не доверяйте им регистрацию.

Еще полезно использовать автоматическое продление домена, если это позволяет ваш регистратор.

Удаляйте информацию с неактуальных веб-сайтов. Даже если срок действия вашего предложения указан в явном виде (мелким шрифтом внизу страницы), страница с устаревшими сведениями о нем может ввести в заблуждение потенциальных клиентов.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.