随着互联网创业的热度不断升温,近年来域名盗窃的事件屡见不鲜,域名安全越来越受企业和个人建站者的重视。10月8日晚,@黄四维 的一条“域名被盗维权”微博,再一次把“域名安全”这个话题推向了舆论的浪尖。微博内容称,黄四维在长假归来后,发现自己从2004年苦心经营至今的奢侈品门户网站域名已从自己的域名账户中转出并移至美国域名注册商处。如果不在短时间内争取回域名,可能意味着黄四维这10年来的心血也将付诸东流。
在Whois查询系统中,的注册局显示为美国服务商。
由于黑客没有更改DNS,目前仍可正常访问。
通常,黑客盗窃域名目的分网络攻击型和利益趋向型:网络攻击型主要是指将域名解析到自己的服务器上,使网站成为一个挂满木马或病毒的页面,直接导致登录网站的用户感染木马和病毒,即使今后找回域名,网站的信誉度也会大大降低。而利益趋向型主要分为三种:一、黑客仍可仿制原本网站,倚仗原有的网站流量使自己获得持续的网站受益。二、盗取权重较好的网站域名创建多个二级域名,并将这些二级域名指向到博彩、色性、成人网站、私服等非法内容的网站上,从而获取非法收益。三、获取品相较好的域名后,通过倒卖的方式获取直接经济利益。无论黑客的动机如何,域名一旦被盗,站长就失去了一切控制权。纵使注册一个新域名,站长也要从零开始吸引用户和树立域名品牌,再一次让用户记住域名,网站的人气和知名度自然大打折扣。
虽然互联网上有很多被盗域名找回的成功案例,而站长为了维护自身域名,奔走于ICANN、域名注册商、注册局、公安机关与法院之间,这期间所浪费的人力、时间与金钱往往是得不偿失的。尤其是那些初具规模且小有人气的网站,提前做好域名保护措施十分必要。
针对域名安全与提前预防这一话题,编者特向国内顶级域名注册服务商新网数码的域名安全技术人员做了相关了解,整理列出几大防护措施,供站长参考。
一、保护好账户安全是第一道门槛
编者通过和国内多家注册商及新网数码沟通了解到,凡是域名转移,第一步需要登录所在会员账户并且获取域名转移密码。所以,会员账户的安全是用户需要第一步加强的,除运营服务商的硬性安全保护之外,用户还可以通过定期更换会员密码,以及将会员密码设置为包含大小写字母、数字、符号,且超过8~16位的超级强密码来进行防护。另外,在公共网络环境中登陆账户也是用户泄露账号的主要途径,因此也应尽量避免。
二、进一步确保邮箱安全
根据惯有流程,用户在使用域名转出服务时,注册商的系统会自动将转移密码发送到域名的注册人邮箱,同时会给域名管理联系人邮箱发送提醒通知。用户只有使用注册人邮箱中接收的转移密码才可完成域名的转移流程。所以邮箱可被视为域名安全的另一道重要防护。针对邮箱安全,安全技术人员提出了几点建议:一、邮箱密码必须与域名管理系统密码区分开,有效避免黑客破解一个密码就击破两道防护;二、为邮箱添加多重保护,比如实名认证、捆绑手机、密码修改通知、收到邮件短信通知等等;三、将邮箱设置为与手机等移动终端进行绑定,确保在第一时间可以收到邮件,即便获取了转移密码,用户也可在第一时间进行取消以避免损失。
三、Whois信息保护服务为安全加分
通过Whois信息查询,网民能够十分便捷地了解该域名的所有人及邮箱地址、管理联系人及邮箱地址等多条个人隐私信息。多数网络黑客是首先通过Whois信息查询的渠道获取一手资料后对域名以及邮箱进行攻击和修改。
Whois信息保护服务是一种域名增值服务。开启Whois信息保护服务后,网民在查询域名Whois信息时,系统会自动屏蔽包括注册联系人、管理联系人、技术联系人、缴费联系人信息在内的所有者详情。Whois信息保护服务通过技术使用专用的“注册者”信息来进行替代原始信息,这样的保护措施可以防止黑客通过Whois查询系统查找到域名所有人的真实信息,降低了域名被窃取的概率,该服务国内顶级域名注册商均已开通。
四、域名安全锁服务是可靠保障
除了信息隐私保护,站长还可选择安全锁服务来保护域名。国内的顶级域名服务商均提供全线域名的安全锁服务,比如新网数码。当域名开通安全锁服务之后,修改操作需要先验证账户安全问题,通过验证方可进行域名注册信息、DNS设置、域名管理权与域名状态的修改。除此之外,开通安全锁服务时域名处于“禁止转移”的状态,此状态下域名无法进行转移,同样需要解除该状态才可进行操作。通过全面部署的锁定设置,安全锁服务能有效阻止黑客使用域名转出服务进行盗取。
五、域名注册局锁定服务的终极防护
在互联网时代中,网民通常会把域名价值和.com域名联系到一起。.com域名的悠久历史和500强企业的青睐都决定了其互联网平台的卓越地位和突出价值。对此,域名注册局锁定服务孕育而生。值得一提的是,世界500强及众多知名企业几乎都选择了购买域名注册局服务。注册局锁定服务的安全级别较高,故除了正常的系统验证流程外,域名注册局锁定服务还需要在购买服务时设置唯一的联系人,域名注册商的客户服务专业人员通过线下的方式对该联系人进行验证,验证通过后即开启注册局锁定服务。当用户域名信息需要进行修改时,同样需要指定联系人通过线下验证后解锁,并在规定时间内完成操作。系统与人工的双重把关决定了服务的严谨性和较高的安全系数,注册局锁定服务也因此在业内被称为域名终极保护策略。目前,国内顶级域名注册商基本均已支持.com、.net、.cc、.name、.tv几大域名的注册局锁定服务。
六、养成定期登录域名管理系统的习惯
通常情况下,站长没有登录域名管理系统的习惯,然而单纯从前端页面无法第一时间察觉网站已经被盗。举此次黄四维的例子来说,黑客还未更改网站的DNS地址,若不登录域名管理系统根本无法发现域名已经被盗。所以网站如果已经小有名气,技术人员还是建议站长定期检查域名注册信息,假如不幸被盗也能及时发现,根据以往域名申诉的案例,发现域名被盗的时间越早,找回域名的成功率也越大。如有必要甚至可以定期修改密码,在设置密码时要注重复杂化,域名安全技术人员再次强调,同时包含数字、大小写字母与特殊符号组成的密码相对而言安全性更高。
在互联网这个开放的大平台中发展,任何时刻都不能存在侥幸心理。站长必须意识到的是:总有人在暗处搜集你的信息,一有机会就趁虚而入盗取你的劳动成果。“预防是解决危机的最好办法。”这是大多数企业家信奉的一条铁律。在运营、耕耘一个网站时,这条铁律同样适用,事先为域名做好足够的防护工作,也是对自己的事业和团队负责。
