Khi tên miền bị... mất

Các chiêu thức đánh chiếm tên miền

Theo Bravo Heart (một nickname), dễ bị đánh cắp nhất là những tên miền không được chủ nhân quan tâm bảo vệ và chính anh là một trường hợp có thể dẫn chứng. Bravo Heart đăng ký hơn một chục tên miền, nhưng thiếu thời gian phát triển nên để “under construction” (đang xây dựng). Đến khi rảnh rỗi, kiểm kê “tài sản” thì muốn té ngửa vì tên miền của anh đang được một người khác rao bán, có tên, địa chỉ, số điện thoại, email... liên lạc đàng hoàng. Kiểm tra lại mới thấy lỗi là ở chính mình. Bravo Heart kể: "Hồi đó, tôi chưa trực tiếp đăng ký mua tên miền ở nước ngoài mà đăng ký qua một công ty ở TPHCM. Công ty này lại giao cho khách hàng các mật khẩu giống hệt nhau. Tuy họ có nhắc nhở khách hàng phải đổi mật khẩu ngay từ lần thay đổi thông tin đầu tiên, nhưng tôi quên không đổi nên có người dò ra, rồi đổi mất mật khẩu và mình đành “ngậm đắng nuốt cay”.

Còn vài chiêu thức khác để cưỡng chiếm tên miền. Một số công ty nhận đăng ký tên miền nhưng vì không có thẻ tín dụng, không thể tự đăng ký nên phải nhờ một công ty khác. Quá trình “nhờ” và “chờ” này đã tạo ra khe hở cho một số cá nhân có thẻ tín dụng đăng ký trước. Mất tên miền kiểu này là "đau" nhất, chuẩn bị kỹ mà vẫn “bù trớt”.

Chiêu tiếp theo là tấn công các đại lý cấp một. Đây là cách chỉ hacker mới dùng. Website của các công ty cấp tên miền quốc tế như www.enom.com, www.registerfly.com... đều đã bị tấn công, nhưng hầu hết các tên miền bị đánh chiếm đều có thể lấy lại và trả cho chủ nhân thật của nó.

Chiêu cuối cùng nghe có vẻ như đùa nhưng tỷ lệ thành công lại cao: một “hacker” tại Hà Nội, không biết nửa câu lệnh Linux hay Unix nhưng vẫn chiếm được khá nhiều tên miền vì... đăng ký một e-mail gần giống với e-mail của nhà đăng ký (ví dụ như webmasterss@enom.com). Tuy webmasterss trong e-mail này có tới hai chữ “s”, nhưng khi nhận thư, email chỉ hiển thị tên người gửi là Web Master chứ không hiển thị cả địa chỉ email. Vì thế, khi anh ta dùng địa chỉ đó thay mặt... hãng Enom gửi e-mail yêu cầu cung cấp password để “nâng cấp”, 2/3 chủ tên miền đã tự nguyện cung cấp và tên miền “không cánh mà bay”.

Giành lại những gì đã mất

Sau khi bị mất tên miền, việc đầu tiên phải làm tất nhiên là “méc” với nơi mình đã đăng ký tên miền. Khả năng thu hồi “tài sản” bằng cách này khoảng 75%. 25% còn lại sẽ nghe nơi nhận đăng ký trả lời: "Chúng tôi đã giao password cho quý khách, việc bị mất tên miền không thuộc trách nhiệm của chúng tôi. Tuy nhiên chúng tôi cũng sẽ cố gắng giúp đỡ!”.

Nơi nhận đăng ký tên miền được đề cập ở trên là các doanh nghiệp trong nước, nhận làm đại lý cấp 2 cho các công ty đại lý cấp 1 ở nước ngoài. Sở dĩ khả năng thu hồi tên miền bị mất đạt khoảng 75% là vì các đại lý cấp một thường triển khai chương trình gọi là reseller với các ưu đãi về giá cả, thời gian đăng ký, trong đó có cả chuyện lấy lại tên miền. Mỗi reseller sẽ được cấp một tài khoản ở công ty. Các tên miền sẽ được đưa vào danh sách quản lý trong tài khoản của reseller đã đăng ký nó. Nếu chẳng may tên miền bị đổi mật khẩu và chuyện này được “méc” với reseller thì reseller sẽ vô hiệu hóa mật khẩu mới, trả tên miền lại cho chính chủ. 25% còn lại gặp khó khăn là vì xui xẻo, người đánh cắp mật khẩu không phải là “tay mơ”. “Cao thủ” cưỡng chiếm tên miền đã "put" (đẩy quyền quản lý) tên miền sang một account khác hoặc một nhà đăng ký khác...

Một doanh nghiệp làm dịch vụ cung cấp tên miền ở VN đã “đụng” cao thủ loại này. Do một lỗi bảo mật trong chương trình quản lý tên miền của đại lý cấp 1, tên miền của công ty M bị cưỡng chiếm. Sau khi thương lượng với kẻ cưỡng chiếm bất thành, công ty M nhờ hãng www.OnlineNic.com can thiệp. Dù công ty M đã trưng ra các bằng chứng, chứng minh mình là chính chủ, nhưng OnlineNic vẫn bán tín, bán nghi vì kẻ cưỡng chiếm cũng gửi email cho OnlineNic khẳng định rằng công ty M đã chuyển nhượng tên miền ấy cho y... Cuối cùng, OnlineNic khóa tên miền này để kẻ cưỡng chiếm không kịp đổi thông tin đăng ký trong danh bạ Whois. Công ty M tiếp tục gửi e-mail cho OnlineNic cho biết thông tin đăng ký trong Whois trùng với giấy đăng ký kinh doanh và các số điện thoại của mình, đề nghị OnlineNic điện thoại đến để xác minh, đồng thời fax giấy chứng nhận đăng ký kinh doanh của mình cho OnlineNic. Để đảm bảo thắng lợi, công ty M fax cả cho một luật sư tại Mỹ, nhờ luật sư này thay mặt mình làm việc với OnlineNic... Phải mất rất nhiểu thời gian, công sức và tiền, công ty M mới giành lại được tên miền của mình.

NẾU CÓ TRANH CHẤP VỀ TÊN MIỀN, VNNIC LÀM GÌ?

Trung tâm VNNIC chỉ có nhiệm vụ tiếp nhận khiếu nại. Đối với những tên miền quan trọng hoặc có liên quan đến những thương hiệu nổi tiếng, VNNIC sẽ đưa thông tin lên mạng (mục “tên miền có khả năng tranh chấp”) trong ba ngày, đồng thời gửi công văn, gửi e-mail, gọi điện khuyến cáo phía sở hữu thương hiệu hoặc có liên quan trực tiếp. Nếu doanh nghiệp hoặc tổ chức ấy có nhu cầu đăng ký thì VNNIC sẽ căn cứ vào các quy định pháp luật và đặc tính sử dụng để từ chối người đăng ký trước. Ngược lại, doanh nghiệp hoặc tổ chức không phản ứng thì VNNIC buộc phải cấp cho chủ thể đã đăng ký; vì theo quy định, các tài nguyên Internet cần được quy hoạch, phát triển và phổ cập rộng rãi.

Để giảm bớt những phiền toái, tranh chấp có liên quan đến tên miền .vn, VNNIC đã gửi khuyến cáo việc đăng ký các tên miền quan trọng, thương hiệu nổi tiếng đến tất cả các tổ chức, doanh nghiệp tại Việt Nam (khoảng 20% trong số khoảng 3.000 văn phòng nước ngoài, khoảng 25.000/ 100.000 thể nhân, pháp nhân ở Việt Nam). Ngoài ra, từ dư luận và hoạt động kiểm tra của các ISP, các nhà đăng ký của VNNIC, các cuộc thanh tra liên ngành do Bộ BCVT, Bộ VHTT và Bộ Công an phối hợp thực hiện... khi phát hiện thấy tên miền đã đăng ký nhưng lại chuyển cho người khác sử dụng thì sẽ cho thu hồi ngay tên miền đó.