Кириллические домены верхнего уровня – это домены верхнего уровня. Но никто не запрещает использовать многоязычные имена в других доменных зонах, третьего уровня, скажем, и ниже. Punycode здесь также работает, а ограничения регистраторов доменов на смешивание символов нет. В большинстве случаев, практически важных для фишеров, преобразование алфавитов осуществляют браузеры. От введения дополнительного слоя преобразований безопасность пользователя в данном случае не может улучшиться, это очевидно. Ожидать, конечно, нужно и дыр в реализациях преобразований Punycode. Но с появлением и распространением домена РФ важнее умелое использование этих технологий в других доменных зонах.

В 2009 году я провел эксперимент, создав доменное имя, закодированное вот такими «кракозябрами»: xn-80adjurfhd. xn-click-uye2a8548c.dxdt.ru, что в перекодированном по таблицам Unicode виде смотрится так: проверка. рф/click. dxdt.ru. Здесь для имитации слеша использован специальный символ из таблиц Unicode с кодом 0х2044 (математический «знак деления»). Итоговый URL может быть вот таким: http://проверка. рф/click.dxdt.ru/ – мимикрия под проверка. рф, при этом реально домен находится в зоне. dxdt.ru, которой управляю я. Отличить сложно. Во многих браузерах в 2009–2010 годах – успешно работало. Правда, в 2010 году, например, в браузере Opera работа со смешанными многоязычными адресами уже была скорректирована и при переходе по данному URL выдавалась ошибка «Invalid URL», что неплохо. Позже подоспели и другие браузеры – Firefox, IE, Chrome, – исправив отображение подобных URL. Понятно, что на практике фишеры вместо проверка. рф могли использовать другие варианты исходных доменов, какие-нибудь известные бренды или названия банков.

У эксперимента с проверка. рф есть и второй результат: до сих пор, даже в начале 2014 года, ссылка на мою тестовую страницу выдается поисковой системой Google на первом месте по запросу «проверка. рф» (именно этого эффекта я и хотел добиться). При этом адрес в тизере поисковика (см. скриншот) выглядит просто идеально.

Читатель спросит: ну и что с того, что на первом месте? Подумаешь, поисковый запросто не самый, как говорится, интересный! Но дело в том, что очень многие пользователи Сети вводят адреса сайтов не в адресной строке браузера, а строке запроса поисковика. После чего просто переходят по первой ссылке. То есть в данном случае поисковик помог создать идеальную видимость работы домена проверка. рф в то самый момент, когда и самого домена РФ еще не было в DNS (я затеял этот небольшой опыт в ноябре 2009 года). Надо сказать, что демонстрация эффекта даже на бывалых системных администраторов производила впечатление: «Постой, постой! А как это? Не может быть!» – спрашивали они; и лишь через пару минут, поизучав ситуацию, понимали, что к чему. Что уж ожидать от рядовых пользователей. Так что в связи с появлением многоязычных доменов нас, к сожалению, ждет новый всплеск оригинального доменного фишинга.

В заключении этой главы еще раз подчеркну, что существенным подспорьем в решении проблем безопасности, очень актуальных для банковских сайтов и сайтов платежных систем, является заблаговременная регистрация всевозможных «доменов-опечаток».

Доменные имена давно превратились в важный инструмент бизнеса. Нередки случаи, когда доменное имя представляет собой единственный действительно ценный ресурс той или иной коммерческой компании, а потеря домена эквивалентна потере всего бизнеса. Вокруг доменов возникают серьезные и весьма сложные в юридическом смысле судебные процессы. Некоторые из них, несмотря на кажущуюся очевидность, могут тянуться годами. Так, например, разбирательства вокруг домена kamaz.ru, зарегистрированного и использовавшегося частным лицом, а не известным на весь мир российским автопроизводителем, продолжались почти десять лет. Правда, в результате домен достался автозаводу.

Что нужно знать начинающему администратору домена о правовых хитростях, окружающих доменные имена? Прежде всего необходимо уяснить для себя реальный статус доменов в российском законодательстве. Как ни странно, их статус можно довольно точно описать одним прилагательным: «расплывчатый». Статус доменного имени, как и само понятие «домен», в законодательстве хоть и упоминается, но четко не прописан (2013 год).

С точки зрения российского законодательства регистрация доменного имени – это услуга, оказываемая юридическим лицом (скорее всего, коммерческой компанией) либо физическому лицу, либо другому юридическому лицу. Услуга, и не более. Документы и договоры, подтверждающие право управления доменом, и близко не равны по юридической силе действия каким-либо государственным правоустанавливающим документам.

Однако от этого право управления доменом не перестает быть правом. То есть администратор не покупает домен – он лишь получает право администрирования домена. Что это меняет? Как только дело дойдет до официальных юридических процедур, выяснится, что меняет это очень многое. Например, право на управление доменом нельзя наследовать. Если администратор домена умер, то коммерческая компания-регистратор вовсе не обязана передать право управления наследникам администратора. Ситуация во многом аналогична другим правам. Скажем, пенсионер может иметь право на бесплатный проезд в общественном транспорте. Но это право не переходит вместе с квартирой к наследникам данного пенсионера после его смерти (даже если пенсионер указал бесплатный проезд в завещании). Так и с доменом. Конечно, никто не запрещает компании-регистратору проявить добрую волю и передать право на домен наследникам умершего администратора, но регистратор не обязан так поступать.

Наследование доменов становится довольно важным моментом, как только они обретают серьезную ценность. В настоящий момент наиболее удобным способом передачи доменов по наследству является оформление их на юридическое лицо, владельцем которого является тот, кто заинтересован в корректном переводе доменов на наследников. В таком случае наследники унаследуют домены вместе с юридическим лицом: наследование долей в компаниях более четко регулируется законодательством.

Оформление прав управления доменом на юридическое лицо также должно проводиться с соблюдением определенных формальных правил. Так, особое внимание нужно уделить полномочиям генерального директора компании. Ведь директор – наемный сотрудник, имеющий при этом определенные права по управлению имуществом компании. В случае с доменом следует отдельно указать в договоре с директором и в учредительных документах компании, что директор не имеет права передавать права компании по доменным именам кому бы то ни было без согласия владельцев (более строго – учредителей). Это довольно важный момент: из-за новизны такого правового явления, как доменное имя, к юридическим аспектам управления им все еще относятся без должного внимания. А между тем, как уже упоминалось, однажды доменное имя может стать единственным ценным ресурсом компании. В конце концов, другие ресурсы она может утратить и сохранить лишь раскрученный домен.

Интересно, что при разделе имущества обанкротившейся компании с доменными именами также возникают серьезные трудности. Если владельцев бизнеса несколько, раздел доменного имени между ними может оказаться весьма проблематичной задачей. Право управления доменом не набор мебели, включающий двенадцать стульев. «Разрезать» данное право на несколько частей – очень сложно. Особенно если претендующие на домен учредители компании находятся в конфликте. Решать задачу нужно с привлечением хорошего юриста.