Domain Apocalypse

वास्तविक दुनिया में हमलावर कैसे डोमेन पर कब्ज़ा करते हैं, इसके 5 तरीकों—सोशल इंजीनियरिंग, रजिस्ट्रार अकाउंट कॉम्प्रोमाइज, DNS प्रोवाइडर टेकओवर, NS हाईजैक, और एक्सपायर्ड-डोमेन रिक्लेमेशन—और उन्हें रोकने वाले विशिष्ट सुरक्षा उपायों का एक व्यावहारिक विवरण।

20 अक्टूबर, 2025 की AWS घटना पर एक रजिस्ट्रार/DNS-ऑपरेशंस का नज़रिया, DNS वास्तव में कैसे काम करता है, यह विफलता इतनी व्यापक रूप से क्यों फैली, और इंटरनेट टीमें इसके बारे में क्या कर सकती हैं।

आपके टोकनाइज़्ड डोमेन को होल्ड करने वाले वॉलेट का एक्सेस खो जाने पर असल में क्या होता है — और सबसे पहले ऐसी स्थिति में पहुँचने की संभावना को कम करने के ऑपरेशनल कदम। बैकअप, मल्टीसिग, हार्डवेयर वॉलेट, सोशल रिकवरी, और कोई भी प्लेटफ़ॉर्म क्या कर सकता है, इसकी सीमाएँ।

सितंबर 2015 में, Google के एक पूर्व कर्मचारी ने Google Domains के ज़रिए google.com को $12 में खरीद लिया और लगभग एक मिनट तक दुनिया के सबसे मूल्यवान डोमेन का प्रशासनिक नियंत्रण हासिल किया। Sanmay Ved की कहानी, $6,006.13 का बाउंटी पुरस्कार, और यह एक मिनट की मालिकी हमें डोमेन नियंत्रण के बारे में क्या बताती है।

15 जुलाई 2020 को, हमलावरों ने फोन के जरिए Twitter में घुसपैठ की, Obama, Biden, Musk, Gates, Apple और Uber के वेरिफाइड अकाउंट्स को हाईजैक किया, और एक Bitcoin दोगुना करने का घोटाला चलाया — जिससे लगभग $118,000 की कमाई हुई। एक ऑनलाइन पहचान के नियंत्रण की चोरी पर गहरी पड़ताल, और यह किसी नाम के स्वामित्व के बारे में क्या सिखाता है।

जुलाई 2024 में, Google Domains से Squarespace पर एक रजिस्ट्रार माइग्रेशन ने कमज़ोर डिफ़ॉल्ट प्रमाणीकरण को एक बड़े हमले की सतह में बदल दिया। हमलावरों ने क्रिप्टो और DeFi प्रोजेक्ट्स — Compound Finance, Celer Network, Pendle, Unstoppable Domains — के डोमेन हाईजैक कर लिए और उन्हें वॉलेट-ड्रेनर फ़िशिंग साइट्स पर री-डायरेक्ट कर दिया। जानें कैसे एक "सहज" माइग्रेशन ने सैकड़ों खुले दरवाज़े बना दिए, और रजिस्ट्रार सुरक्षा और MFA के बारे में इससे क्या सीखा जा सकता है।

दिसंबर 2021 में, हमलावरों ने BadgerDAO के Cloudflare अकाउंट को हैक किया और उसकी वेबसाइट के फ्रंट-एंड में एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर दी। ऑडिट किए गए स्मार्ट कॉन्ट्रैक्ट कभी नहीं छुए गए — फिर भी वॉलेट अप्रूवल के ज़रिए ~$120M उड़ा दिए गए, जिन्हें यूज़र्स ने बिना जाने साइन किया। यह एक गहन विश्लेषण है कि वेबसाइट आपकी सुरक्षा सतह का हिस्सा क्यों है।

सितंबर 2021 में, Bitcoin.org — छद्म नाम से चलाए जाने वाले Cobra के नेतृत्व में Bitcoin का दीर्घकालिक सूचनात्मक घर — DNS स्तर पर हाईजैक किया गया और एक नकली "अपना Bitcoin दोगुना करें" गिवअवे में बदल दिया गया, जिससे साइट ऑफलाइन होने से पहले धोखेबाजों ने लगभग $17,000 कमाए। एक Domain Mayday गहन विश्लेषण: क्या हुआ, कैसे हुआ, और यह DNS पर निर्भर क्रिप्टो-नेटिव साइटों के बारे में क्या सिखाता है।

अगस्त 2022 में, Curve Finance के स्मार्ट कॉन्ट्रैक्ट्स अछूते रहे — लेकिन हमलावरों ने curve.fi डोमेन को रजिस्ट्रार स्तर पर हाईजैक किया, साइट का क्लोन बनाया, और उपयोगकर्ताओं से लगभग $570K निकाल लिए। एक DeFi फ्रंट-एंड पर DNS हमले की गहराई से जांच, और यह डोमेन सुरक्षा के बारे में क्या सिखाता है।

2018 के अंत में, Cisco Talos ने DNSpionage का खुलासा किया — एक अभियान जो बाद में ईरानी हितों से जुड़ा पाया गया, जिसने सरकारी DNS रिकॉर्ड को फिर से लिखा, ईमेल और VPN ट्रैफ़िक को हमलावर सर्वरों पर पुनर्निर्देशित किया, और अदृश्य रहने के लिए वैध TLS प्रमाणपत्र जारी किए। इसने अमेरिकी सरकार की ओर से इस प्रकार का पहला आपातकालीन निर्देश जारी करवाया।

21 अक्टूबर 2016 को, Mirai IoT बॉटनेट द्वारा संचालित एक DDoS हमले ने DNS प्रदाता Dyn को तीन लहरों में निशाना बनाया, जिससे Twitter, Netflix, Reddit, Spotify, GitHub, Airbnb और PayPal घंटों के लिए ऑफलाइन हो गए — DNS प्रदाता केंद्रीकरण पर एक Domain Mayday केस स्टडी।

सितंबर 2017 में, हमलावरों ने Dutch सुरक्षा फर्म Fox-IT के थर्ड-पार्टी डोमेन रजिस्ट्रार में लॉग इन किया, DNS बदल दिया, धोखाधड़ी से TLS सर्टिफिकेट प्राप्त किया, और क्लाइंट ट्रैफिक पर 10 घंटे का मैन-इन-द-मिडल हमला चलाया — जब तक Fox-IT ने इसे पकड़ा और उद्योग के सबसे पारदर्शी post-mortems में से एक प्रकाशित किया।

2020 से 2022 के बीच, एक ही खतरा अभिनेता समूह GoDaddy के बुनियादी ढांचे के अंदर रहा — स्रोत कोड चुराते हुए, 1.2 मिलियन Managed WordPress ग्राहकों को उजागर करते हुए, और बीच-बीच में ग्राहकों की वेबसाइटों को दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित करते हुए। रजिस्ट्रार केंद्रीकरण जोखिम और विफलता के एकल बिंदुओं के बारे में एक गहन विश्लेषण।

वर्ष 2014 के अंत में, ICANN — वह संस्था जो इंटरनेट डोमेन नाम प्रणाली का समन्वय करती है — ने स्वीकार किया कि उसके अपने डोमेन की नकल करके भेजे गए एक स्पियर-फिशिंग ईमेल ने स्टाफ की साख चुरा ली और हमलावरों को सेंट्रलाइज्ड ज़ोन डेटा सिस्टम तक प्रशासनिक पहुँच दे दी। Domain Mayday की यह गहरी पड़ताल बताती है कि DNS प्राधिकरण को कैसे फिश किया गया, क्या उजागर हुआ, और यह अभी भी क्यों महत्वपूर्ण है।

25 फरवरी 2015 को, Lizard Squad ने रजिस्ट्रार Webnic से समझौता करके Lenovo.com को हाईजैक कर लिया — दुनिया के सबसे बड़े PC निर्माता के डोमेन को एक वेबकैम स्लाइडशो पर रिडायरेक्ट किया और उसका ईमेल इंटरसेप्ट किया — यह Superfish घोटाले के कुछ ही दिनों बाद हुआ। Domain Mayday की यह गहन पड़ताल बताती है कि आपका रजिस्ट्रार ही आपकी असली सुरक्षा परिधि है।

जनवरी 2015 में, Lizard Squad ने malaysiaairlines.com का DNS हाईजैक कर लिया और एयरलाइन की साइट को एक टक्सीडो पहने छिपकली और ताना "404 — Plane Not Found" से बदल दिया। किसी सर्वर में सेंध नहीं लगाई गई — हमलावरों ने बस यह बदल दिया कि डोमेन कहाँ इंगित करता है। यह एक Domain Mayday की गहन पड़ताल है कि DNS कैसे एयरलाइन का सबसे उजागर दरवाज़ा बना।

24 अप्रैल 2018 को, हमलावरों ने Amazon Route 53 के लिए इंटरनेट रूटिंग को हाईजैक किया, myetherwallet.com के DNS उत्तरों को जहरीला किया, और एक सेल्फ-साइन्ड सर्टिफिकेट के पीछे एक फिशिंग क्लोन परोसा — जिससे लगभग $150,000 का Ethereum निकाला गया। Domain Mayday की गहन पड़ताल — क्यों DNS एक ऐसी रूटिंग परत पर निर्भर है जो डिफ़ॉल्ट रूप से भरोसा करती है।

जनवरी 2005 में, panix.com — न्यू यॉर्क के सबसे पुराने व्यावसायिक ISP का डोमेन — को चुराए गए क्रेडिट कार्ड का उपयोग करके ऑस्ट्रेलिया के एक रजिस्ट्रार को धोखाधड़ी से ट्रांसफर कर दिया गया, जिससे वेब और ईमेल कई दिनों के लिए ऑफलाइन हो गए। उस दौर के ऑटो-अप्रूव इंटर-रजिस्ट्रार ट्रांसफर नियमों ने इसे संभव बनाया, और इसकी सफाई ने डोमेन-ट्रांसफर नीति को नया रूप दिया।

जनवरी 2021 के अंत में, perl.com — Perl प्रोग्रामिंग कम्युनिटी का दशकों पुराना घर — एक रजिस्ट्रार-स्तर के अकाउंट से समझौते के ज़रिए चोरी हुआ, चीन के रास्ते ट्रांसफर हुआ, मैलवेयर से जुड़े IP पर इंगित किया गया, और $190,000 में बिक्री के लिए सूचीबद्ध हुआ। यहाँ बताया गया है कि यह कैसे हुआ, इसे कैसे वापस पाया गया, और यह रजिस्ट्रार अकाउंट सुरक्षा के बारे में क्या सिखाता है।

"Sea Turtle" — 2019 में Cisco Talos द्वारा उजागर किया गया एक राज्य-प्रायोजित अभियान — ने रजिस्ट्रारों, रजिस्ट्रियों और DNS प्रदाताओं से समझौता करके DNS को हाईजैक किया, सरकारों, मंत्रालयों और ऊर्जा कंपनियों को हमलावरों के सर्वरों पर पुनर्निर्देशित किया, वैध प्रमाणपत्र जाली बनाए और यहाँ तक कि एक राष्ट्रीय TLD रजिस्ट्री का उल्लंघन किया।

1995 में स्टीफन कोहेन नामक एक धोखेबाज ने Network Solutions को एक जाली पत्र भेजकर Gary Kremen से sex.com चुरा लिया। इसे वापस पाने की लंबी लड़ाई $65 मिलियन के फैसले, मेक्सिको में एक भगोड़े और इस ऐतिहासिक फैसले पर समाप्त हुई कि डोमेन संपत्ति है।

सितंबर 2021 में एक अज्ञात ठेकेदार ने एक दुर्भावनापूर्ण कमिट के ज़रिए SushiSwap के MISO लॉन्चपैड फ्रंट-एंड में अपना वॉलेट पता डाल दिया, जिससे Jay Pegs Auto Mart नीलामी से 864.8 ETH (~$3M) डायवर्ट हो गए। Domain Mayday की गहन पड़ताल — कोड सप्लाई चेन, फ्रंट-एंड ट्रस्ट, और सत्यापन योग्य स्वामित्व के बारे में महत्वपूर्ण सबक।

27 अगस्त 2013 को, सीरियाई इलेक्ट्रॉनिक आर्मी ने Melbourne IT के एक रिसेलर को फ़िश किया, nytimes.com और Twitter के डोमेन के DNS रिकॉर्ड्स को फिर से लिखा, और न्यूयॉर्क टाइम्स को घंटों के लिए ऑफ़लाइन कर दिया। एक गहरी पड़ताल कि कैसे रजिस्ट्रार-चेन की कमज़ोर कड़ी एक अखबार की सामने की दरवाज़े की विफलता बनी — और रजिस्ट्री लॉक ने क्या बदला होता।