Почему сайты ведущих университетов мира показывают порно: проблема в халатности администраторов

Как мошенники используют ошибки университетов

Исследователь Алекс Шахов из компании SH Consulting выявил, что хакеры из группы Hazy Hawk эксплуатируют уязвимость в управлении DNS-записями университетов. Они создают поддомены, которые позже забывают удалять, после чего регистрируют их повторно, размещая на них порнографический контент или мошеннические сайты.

Среди пострадавших университетов:

• University of California, Berkeley (berkeley.edu)
• Columbia University (columbia.edu)
• Washington University in St. Louis (washu.edu)

По словам Шахова, в общей сложности мошенники захватили более 300 поддоменов как минимум в 34 университетах. Поисковые системы, включая Google, индексируют тысячи таких страниц, что увеличивает риск для пользователей.

Механизм атаки: от ошибки до мошенничества

Когда университет создает поддомен, например, provost.washu.edu, администраторы добавляют CNAME-запись, связывающую его с IP-адресом сервера. Однако после прекращения использования поддомена запись не удаляется. Это оставляет «дыру», которую захватывают мошенники, регистрируя истёкший домен заново.

В результате пользователи, переходя по таким ссылкам, могут попасть на:

• порнографические сайты;
• ресурсы с вредоносным ПО;
• мошеннические страницы, имитирующие уведомления о заражении компьютера.

Например, один из поддоменов UC Berkeley перенаправлял на сайт с порнографическим контентом, а поддомен Вашингтонского университета содержал PDF-файл с мошенническими ссылками.

Последствия для репутации и безопасности

Проблема не ограничивается порно. Некоторые захваченные поддомены использовались для:

• распространения фишинговых атак;
• размещения рекламы мошеннических антивирусов;
• перенаправления на сайты с вредоносным ПО.

Эксперты отмечают, что университеты часто не замечают таких инцидентов, так как поддомены не всегда активно мониторятся. Это создает дополнительные риски для студентов, преподавателей и посетителей сайтов.

Что делать университетам?

Специалисты рекомендуют:

• Регулярно проверять и удалять неиспользуемые CNAME-записи.
• Мониторить активность поддоменов с помощью специализированных инструментов.
• Использовать автоматизированные системы безопасности, которые предупреждают о несанкционированных изменениях.

«Университеты должны рассматривать управление DNS как часть своей кибербезопасности. Ошибки в конфигурации могут привести не только к репутационным потерям, но и к реальным финансовым убыткам для пользователей», — отметил Алексей Шахов.

Выводы и рекомендации для пользователей

Пользователям следует:

• Избегать переходов по подозрительным ссылкам, особенно если они ведут с университетских доменов.
• Использовать надежные антивирусы и регулярно обновлять ПО.
• Проверять URL перед переходом — обращать внимание на HTTPS и корректность домена.