小心這個被忽視的攻擊面:棄用域名
責編:gltian |2018-10-30 13:33:53電子郵件是打開私密王國的鑰匙。所有口令重置都要通過電子郵件,而棄用舊域名讓攻擊者可以很容易地重新注冊該域名來誘騙公司員工。
安全專家指出,棄用舊域名問題對律所而言尤其危險,因為律所間合作伙伴關系的建立、解除和合并很常見。合并或收購通常會形成新的公司新的品牌,隨之而來的就是新的域名或被并購公司舊品牌及舊域名的棄用。放任這些舊域名過期是非常危險的行為。
2017年,美國頂級律所間兼并創了紀錄,共發生了102起合并或收購。小型律所間并購案可能以千計。
為檢測棄用域名問題的嚴重性,安全研究員 Gabor Szathmari 重注冊了經歷過合并的多家律所的舊域名。他不過是設置了郵件服務器,沒做任何黑客操作,就持續收到了機密信息流,包括銀行往來郵件、其他律所的發票、客戶的敏感法律文書,還有來自LinkedIn的更新。
棄用域名可用于詐騙
同樣的方法也可用來進行詐騙。通過恢復之前運營在棄用域名上的網店,騙子可以從archive.org上下載原始網頁,偽裝成仍在營業的網店接下新的訂單和所付款項。
如果上一家網店有客戶關系管理(CRM)系統或用MailChimp進行市場營銷的話,罪犯就能通過基于電子郵件的口令重置接管這些賬戶,獲得上任店主的客戶列表。他們可以為這些客戶提供特殊折扣碼,激勵他們快下訂單,然而這些訂單永遠都不會送達,只有客戶支付的錢款會被罪犯卷走。
域名注冊機構每天都會把快過期的域名以域名刪除列表的形式公布出來。不需要太多技術含量就可以下載這些列表并與并購消息交叉對比,或者重注冊感興趣的域名。
Szathmari還成功利用這些重注冊的域名訪問過HaveIBeenPwned.com和?SpyCloud.com的第三方數據泄露所涉口令庫。這兩個訪問都要求域名驗證,但只有了這些重注冊的域名,通過驗證很容易。因為口令重用泛濫成災,Szathmari表示他可以很輕松地用這些第三方口令攻擊受影響的員工,包括他們的工作和個人生活。
舊域名需保留多久?
謹慎小心保安全。域名又不貴,繼續保有舊域名已經是最便宜的網絡安全保障策略了。
Szathmari建議設置一個總攬型電子郵件服務,負責將所有入站電子郵件重定向到可信管理員處,由這名管理員審查前任及現任員工的通信地址,以及在線服務的口令重置郵件。