Kako zaščititi domeno pred krajo

Zakaj je zaščita domene pomembna

Vaša domena je digitalni naslov vašega poslovanja. Če nekdo ukrade vašo domeno, izgubite dostop do spletne strani, e-poštne komunikacije in celotne spletne prisotnosti. Kraja domene (domain hijacking) je realna grožnja - napadalci uporabljajo socialni inženiring, phishing ali kompromitirane račune za prevzem nadzora nad domeno. Okrevanje lahko traja tedne ali mesece, v nekaterih primerih pa je nemogoče.

Predstavljajte si vašo domeno kot nepremičnino v digitalnem svetu. Tako kot bi zaklenili hišo, namestili alarm in zavarovali lastništvo, morate tudi vašo domeno zaščititi z več plastmi varnosti.

Domain Lock (Registrar Lock)

Domain lock je prva in najpomembnejša linija obrambe. Ko je domena zaklenjena, nobenega transfera k drugemu registrarju ni mogoče sprožiti brez izrecnega odklepa.

Kako deluje

Domain lock postavi statusne kode na vašo domeno, ki preprečujejo spremembe. Najpomembnejši so:

• clientTransferProhibited: Preprečuje transfer domene k drugemu registrarju. To je standardni lock, ki bi ga morala imeti vsaka domena.
• clientDeleteProhibited: Preprečuje brisanje domene. Uporabno za kritične domene.
• clientUpdateProhibited: Preprečuje spremembo DNS zapisov in imenskih strežnikov. Najstrožja zaščita.
• serverTransferProhibited: Register domene na strani strežnika postavi to zaščito.

Kako aktivirati

Prijavite se v ploščo svojega registrarja (cPanel, klientski portal), poiščite možnost "Domain Lock" ali "Transfer Lock" in jo aktivirajte. Na BeoHostingu je domain lock samodejno aktiven na vseh domenah. Deaktivirajte ga samo, ko resnično želite prenesti domeno.

WHOIS zasebnost

WHOIS je javna baza podatkov, ki prikazuje lastniške informacije za vsako domeno - ime, naslov, e-pošto in telefon lastnika. Ti podatki so dostopni vsem in se lahko zlorabijo.

Tveganja javnega WHOIS-a

• Socialni inženiring: Napadalec lahko uporabi vaše podatke, da se pred registrarjem predstavi kot vi.
• Phishing napadi: Vaš e-poštni naslov iz WHOIS-a je lahko tarča ciljanega phishing-a.
• Spam: Javni kontaktni podatki privlačijo spam e-pošto in telefonske klice.
• Kraja identitete: Kombinacija imena, naslova in e-pošte je lahko dovolj za krajo identitete.

WHOIS Privacy Protection

WHOIS zasebnost zamenja vaše osebne podatke v WHOIS bazi s podatki proxy storitve. Namesto vašega imena in naslova se prikazujejo podatki storitve za zaščito zasebnosti. E-pošta, poslana na proxy naslov, se posreduje vam, vendar vaš pravi e-poštni naslov ostane skrit.

Opomba: Za .SI domene ima Arnes (register slovenskih domen) lastna pravila o WHOIS podatkih. Kontaktirajte svojega registrarja za podrobnosti o zasebnosti .SI domen.

Dvofaktorska avtentikacija (2FA)

Tudi najmočnejše geslo je lahko kompromitirano. Dvofaktorska avtentikacija doda drugo plast zaščite, ki zahteva nekaj, kar imate (telefon), poleg nečesa, kar veste (geslo).

Vrste 2FA za registrarjev račun

• Authenticator aplikacija: Google Authenticator, Authy ali Microsoft Authenticator generirajo časovno omejene kode (TOTP). To je najpriporočljivejša metoda.
• SMS kode: Koda se pošlje na vaš telefon prek SMS-a. Manj varno od aplikacije, ker je SMS lahko prestrežen (SIM swap napad).
• Strojni ključ: YubiKey ali podobna USB naprava. Najvarnejša možnost, vendar zahteva fizično napravo.

Zakaj je 2FA kritična za domene

Če napadalec dobi vaše geslo za registrarjev račun (phishing, data breach, keylogger), lahko brez 2FA takoj prevzame nadzor. Z 2FA potrebuje tudi fizični dostop do vašega telefona ali strojnega ključa, kar dramatično zmanjšuje tveganje.

Varnostne prakse za e-pošto, povezano z domeno

E-poštni naslov, povezan z vašim registrarjevim računom, je ključna točka varnosti. Če napadalec kompromitira to e-pošto, lahko ponastavi geslo in prevzame nadzor nad domeno.

• Uporabite ločen e-poštni naslov: Ne uporabljajte javnega e-poštnega naslova za registrarjev račun. Idealno uporabite e-pošto na drugi domeni, ki jo nadzorujete.
• Aktivirajte 2FA na e-poštnem računu: Zaščita e-poštnega računa je enako pomembna kot zaščita registrarjevega računa.
• Redno preverjajte: Pregledujte prejeto e-pošto od registrarja - še posebej obvestila o spremembah na domeni ali zahtevah za transfer.
• Ne klikajte na sumljive povezave: Registrarji nikoli ne zahtevajo gesla prek e-pošte. Do računa vedno dostopajte neposredno prek uradnega spletnega naslova.

Registry Lock (za kritične domene)

Registry Lock je najvišja raven zaščite domene. Za razliko od navadnega domain lock-a, ki se aktivira na ravni registrarja, se Registry Lock uporablja na ravni registra (organizacija, ki upravlja TLD).

Kako deluje

Z Registry Lock-om kakršna koli sprememba na domeni (transfer, sprememba imenskih strežnikov, brisanje) zahteva ročno preverjanje s strani registra. To običajno vključuje telefonski klic in preverjanje identitete. Postopek je počasnejši, vendar praktično odpravlja možnost nepooblaščene spremembe.

Kdo naj uporablja Registry Lock

Registry Lock je idealen za banke, e-commerce platforme, medijske hiše in vse organizacije, katerih domena ima visoko poslovno vrednost. Cena je običajno višja od standardnega domain lock-a, vendar je raven zaščite neprimerno večja.

Redno preverjanje in spremljanje

Zaščita domene ni enkratno opravilo - to je neprekinjen postopek, ki zahteva redno preverjanje.

• Preverjajte datum poteka: Potekla domena je lahko registrirana od koga drugega. Aktivirajte auto-renew na vseh svojih domenah.
• Spremljajte WHOIS spremembe: Storitve, kot je DomainTools ali WHOIS monitoring orodja, vas obvestijo o kakršni koli spremembi na vaši domeni.
• Hranite auth code na varnem: Authorization code (EPP code) je ključ za transfer domene. Hranite ga kot geslo - v password managerju.
• Preverjajte DNS zapise: Nepooblaščena sprememba DNS zapisov lahko preusmeri vašo spletno stran na lažno stran brez transfera domene.

Zaključek

Zaščita domene zahteva več plasti varnosti. Aktivirajte domain lock, uporabite WHOIS zasebnost, obvezno vklopite 2FA na registrarjevem računu in uporabljajte močno, edinstveno geslo. Za poslovne domene visoke vrednosti razmislite o Registry Lock-u. Redno preverjajte datum poteka, DNS zapise in varnostna obvestila od registrarja. Na BeoHostingu je domain lock samodejno aktiven, naša ekipa za podporo pa je na voljo, da vam pomaga pri vseh vidikih zaščite vaše domene.