Bezpieczeństwo domen internetowych

Reverse domain hijacking, cybersquatting, typosquatting – lista zagrożeń, które czyhają na właścicieli domen jest długa. Co kryje się za tymi hasłami i w jaki sposób przeciętny abonent może bronić się przed oszustami?

Reverse domain hijacking to inaczej wyłudzenie domeny, z którym mamy do czynienia, kiedy jeden podmiot próbuje przejąć domenę zarejestrowaną przez innego abonenta. Do tej sytuacji dochodzi często, gdy firma dąży do przejęcia atrakcyjnej dla siebie nazwy domeny poprzez udowodnienie swoich praw do niej z tytułu zarejestrowanego znaku towarowego.

Cybersquatting polega zaś na rejestrowaniu domen zawierających nazwę taką samą lub podobną do danej marki czy firmy i próbowaniu odsprzedania ich po zawyżonej cenie lub oferowaniu produktów lub usług konkurencyjnych w stosunku do firmy, której nazwę wykorzystano w domenie.

Z kolei typosquatting to praktyka polegająca na rejestrowaniu domeny z „literówką” w nazwie, np. „nazwaa.pl”. Innym przykładem jest rejestrowanie domeny z dodanym „www” do nazwy, np. „wwwnazwa.pl”.

Niestety, nie jesteśmy w stanie skutecznie bronić się przed powyższymi zagrożeniami, w szczególności jeśli trafimy na upartego typosquattera o bogatej wyobraźni do tworzenia szkodliwych nazw domen. Aby chociaż częściowo uchronić się od nieprzyjemności, dobrą praktyką jest zarejestrowanie ważnej dla nas nazwy w różnych rozszerzeniach. Wielu abonentów ogranicza się bowiem do jednego, najczęściej najpopularniejszego rozszerzenia, np. .com lub .pl.

Jeśli jednak dojdzie do któregoś z ww. naruszeń i chcemy dochodzić swoich praw, to w zależności od typu domeny będącej przedmiotem sprawy, powinniśmy skierować sprawę do odpowiedniego organu. Listy właściwych instytucji są przeważnie dostępne na stronach WWW rejestrów.

Baza WHOIS gromadzi informacje o abonentach domen. Co zrobić, aby dane osobowe nie były publicznie dostępne?

Niestety, nie zawsze jesteśmy w stanie chronić nasze dane osobowe przed publicznym dostępem. W dużej mierze publiczny dostęp do danych gromadzonych w bazach WHOIS zależy od zasad przyjętych przez rejestr danej domeny.

W przypadku domen .pl dane osób fizycznych są domyślnie ukrywane, ponieważ reguluje to ustawa o ochronie danych osobowych. Dla domen .eu widoczny jest tylko adres e-mail abonenta. Inaczej ma się sytuacja w przypadku domen globalnych, gdzie zgodnie z zasadami ICANN domyślnie publikowane są pełne dane osobowe abonenta.

Wielu rejestratorów wychodzi naprzeciw oczekiwaniom abonentów i oferuje usługi, które umożliwiają ochronę danych. Posiadając domenę globalną zarejestrowaną poprzez nazwa.pl, abonent może ukryć dane poprzez aktywację usługi, która powoduje, że jego dane zostają zastąpione danymi spółki należącej do nazwa.pl – Who is Data Protection sp. z o.o. Jest to bezpieczna i skuteczna metoda ukrywania danych, ponieważ abonent jest nadal pełnoprawnym dysponentem domeny. Wybierając usługodawcę, warto zwrócić uwagę na ten aspekt, ponieważ niektórzy rejestratorzy co prawda oferują ukrywanie danych, ale wiąże się to z rejestracją domeny na dane rejestratora lub innego podmiotu. To zaś może być dość ryzykowne.

Domena to nie tylko nazwa, to także adres naszej strony internetowej. Jak możemy dodatkowo zadbać o jej bezpieczeństwo?

Zabezpieczając nasz biznes, w tym ważne dla nas domeny, nie możemy zapomnieć o zabezpieczeniu użytkowników – naszych klientów. Taką ochronę stanowi SSL. Jest to szczególnie istotne, jeśli prowadzimy sklep internetowy, gdzie mamy do czynienia z przepływem danych osobowych i płatnościami online. Zainstalowanie certyfikatu SSL spowoduje, że komunikacja pomiędzy komputerem użytkownika a naszym sklepem lub ser¬wisem WWW zostanie zaszyfrowana.

Zamawiając certyfikat SSL, musimy określić nazwę domeny, dla której certyfikat ma zostać wystawiony – należy pamiętać, że dla każdej domeny niezbędny jest osobny certyfikat (chyba że zdecydujemy się na certyfikat typu MultiDomains), a w przypadku chęci zabezpieczenia subdomen należy zamówić certyfikat typu Wildcard.

Anna Konieczna

Kierownik ds. Produktu, nazwa.pl