Заброшенные доменные имена - малопривлекательный плод для злоумышленников, которые могут использовать их для доступа к конфиденциальной электронной почте или данным клиентов.
Электронная почта хранит ключи от королевства. Все ваши пароли сбрасываются по электронной почте, а отказ от старого доменного имени позволяет злоумышленникам легко перерегистрировать старый домен и получить ваши данные.
Проблема особенно серьезна для юридических фирм, где партнерства часто образуются, распадаются и сливаются, отмечает исследователь безопасности Габор Сзатмари. Слияние или поглощение обычно включает либо новый брендинг для новой фирмы с новым доменным именем для соответствия, либо приобретенную фирму, отказывающуюся от своего старого бренда и доменного имени. Допустить истечение срока действия этих старых доменов опасно.
Допустить истечение срока действия этих старых доменов опасно.
«В США 2017 был рекордным годом для слияний ведущих юридических фирм: 102 слияния или поглощения за год, - пишет Сзатмари. - На уровне небольшой юридической практики их число, вероятно, исчисляется тысячами».
Чтобы проверить, насколько серьезна проблема, Сзатмари перерегистрировал старые доменные имена для нескольких объединившихся юридических фирм, настроил почтовый сервер и, ничего не взламывая, он говорит, что получал постоянный поток конфиденциальной информации, включая банковскую корреспонденцию, счета-фактуры от других юридических фирм, конфиденциальные юридические документы от клиентов и обновления от LinkedIn. (Сзатмари работает над возвращением затронутых доменных имен их первоначальным владельцам.)
Использование брошенных доменных имен для совершения мошенничества
По его словам, тот же метод можно легко использовать для совершения мошенничества. "Восстановив онлайн-магазин, ранее работавший на заброшенном доменном имени, - пишет он в электронном письме в CSO, - злоумышленники могут загрузить исходные веб-страницы с archive.org, а затем принимать новые заказы и платежи, выдавая себя за полностью функционирующую Интернет-магазин".
«Если бы в бывшем интернет-магазине была CRM-система или MailChimp, проводившие маркетинговые кампании, - добавляет он, - преступники могли бы получить доступ к списку бывших клиентов, взяв их учетные записи с помощью сброса пароля на основе электронной почты. Они могли бы предложить им специальную скидку. код, чтобы побудить их отправлять заказы, которые никогда не будут доставлены. Нет предела».
Истекающие доменные имена публикуются ежедневно реестрами доменных имен в виде выпадающих списков доменных имен. Не требуется криминального вдохновителя, чтобы ежедневно загружать эти списки и сопоставлять их с новостями о слияниях и поглощениях в соответствующих торговых пабах или просто перерегистрировать любое доменное имя, которое им нравится.
Сзатмари также смог использовать перерегистрированные доменные имена для доступа к паролям сторонних взломщиков с помощью HaveIBeenPwned.com и SpyCloud.com. Обе службы требуют проверки доменного имени, что легко обойти защиту, если вы владеете доменом, о котором идет речь. Поскольку повторное использование паролей по-прежнему широко распространено, Сзатмари пишет, что он легко мог использовать эти сторонние пароли для компрометации затронутых сотрудников, включая их бизнес и личную жизнь.
Как долго вы должны держаться за эти старые домены?
Береженого Бог бережет. Доменные имена не дороги, а хранение старых доменов в вашем распоряжении - самый дешевый полис страхования кибербезопасности, который вы когда-либо приобретали.
Сзатмари рекомендует настроить комплексную электронную почту, которая перенаправляет всю входящую электронную почту доверенному администратору, тому, кто может просматривать корреспонденцию, адресованную бывшим и нынешним сотрудникам, а также электронные письма для сброса пароля для онлайн-служб.
Не отказывайтесь и от этого субдомена.
Взлом субдомена - это когда злоумышленник захватывает субдомен, например subdomain.yourdomain.com. Обычно это происходит, когда владелец домена закрывает службу, работающую в поддомене, и забывает обновить свою запись поддомена DNS, которая продолжает указывать на несуществующую службу.
Ранее в этом году Microsoft совершила эту ошибку новичка, не сумев защитить два поддомена, которые спамеры использовали для продвижения онлайн-казино. Если Microsoft, зрелый производитель программного обеспечения, ориентированный на безопасность, может совершить эту ошибку, скорее всего, ваша организация тоже.
Типичный случай захвата субдомена связан с тем, что организация настраивает субдомен для указания на стороннюю службу, такую как GitHub Pages, Heroku или Shopify. Если ваша организация позже завершит работу этой службы и, например, удалит свою учетную запись GitHub Pages, злоумышленник может повторно зарегистрировать эту учетную запись GitHub Pages (поскольку теперь она доступна всем желающим) и опубликовать все, что им нравится, на subdomain.yourdomain.com.
Как предотвратить захват поддомена
Ни один из навороченных дорогостоящих инструментов безопасности не может предотвратить захват субдомена, только организационная совместная работа. Кто управляет DNS вашей компании? Кто одобряет использование субдоменов для поддержки билетов, электронной коммерции или заполнения поля? Где находится переплет, цифровой или бумажный, который документирует и обеспечивает проверку поддоменов, когда они больше не используются?
Безопасность - это процесс, а не продукт, и этот трюизм становится очевидным при решении проблемы захвата субдоменов. Это может быть особенно проблемой в более крупных организациях, где ИТ и безопасность имеют свои отдельные отделы. Управление записями DNS, как правило, является обязанностью ИТ-отдела: заставить мою онлайн-штуку работать, чтобы я мог выполнять свою работу. Когда он появится вживую, кто будет следить за тем, чтобы он все еще использовался? Чья это функция?
Учитывая, насколько тривиальна атака с захватом поддомена, какой репутационный ущерб она может нанести вашему бренду и какие усилия не требуются для ее исправления - просто отредактируйте настройки DNS - стоит подумать о том, как интегрировать регулярную проверку поддоменов в вашу безопасность. рабочий процесс.
Электронная почта хранит ключи от королевства. Все ваши пароли сбрасываются по электронной почте, а отказ от старого доменного имени позволяет злоумышленникам легко перерегистрировать старый домен и получить ваши данные.
Проблема особенно серьезна для юридических фирм, где партнерства часто образуются, распадаются и сливаются, отмечает исследователь безопасности Габор Сзатмари. Слияние или поглощение обычно включает либо новый брендинг для новой фирмы с новым доменным именем для соответствия, либо приобретенную фирму, отказывающуюся от своего старого бренда и доменного имени. Допустить истечение срока действия этих старых доменов опасно.
Допустить истечение срока действия этих старых доменов опасно.
«В США 2017 был рекордным годом для слияний ведущих юридических фирм: 102 слияния или поглощения за год, - пишет Сзатмари. - На уровне небольшой юридической практики их число, вероятно, исчисляется тысячами».
Чтобы проверить, насколько серьезна проблема, Сзатмари перерегистрировал старые доменные имена для нескольких объединившихся юридических фирм, настроил почтовый сервер и, ничего не взламывая, он говорит, что получал постоянный поток конфиденциальной информации, включая банковскую корреспонденцию, счета-фактуры от других юридических фирм, конфиденциальные юридические документы от клиентов и обновления от LinkedIn. (Сзатмари работает над возвращением затронутых доменных имен их первоначальным владельцам.)
Использование брошенных доменных имен для совершения мошенничества
По его словам, тот же метод можно легко использовать для совершения мошенничества. "Восстановив онлайн-магазин, ранее работавший на заброшенном доменном имени, - пишет он в электронном письме в CSO, - злоумышленники могут загрузить исходные веб-страницы с archive.org, а затем принимать новые заказы и платежи, выдавая себя за полностью функционирующую Интернет-магазин".
«Если бы в бывшем интернет-магазине была CRM-система или MailChimp, проводившие маркетинговые кампании, - добавляет он, - преступники могли бы получить доступ к списку бывших клиентов, взяв их учетные записи с помощью сброса пароля на основе электронной почты. Они могли бы предложить им специальную скидку. код, чтобы побудить их отправлять заказы, которые никогда не будут доставлены. Нет предела».
Истекающие доменные имена публикуются ежедневно реестрами доменных имен в виде выпадающих списков доменных имен. Не требуется криминального вдохновителя, чтобы ежедневно загружать эти списки и сопоставлять их с новостями о слияниях и поглощениях в соответствующих торговых пабах или просто перерегистрировать любое доменное имя, которое им нравится.
Сзатмари также смог использовать перерегистрированные доменные имена для доступа к паролям сторонних взломщиков с помощью HaveIBeenPwned.com и SpyCloud.com. Обе службы требуют проверки доменного имени, что легко обойти защиту, если вы владеете доменом, о котором идет речь. Поскольку повторное использование паролей по-прежнему широко распространено, Сзатмари пишет, что он легко мог использовать эти сторонние пароли для компрометации затронутых сотрудников, включая их бизнес и личную жизнь.
Как долго вы должны держаться за эти старые домены?
Береженого Бог бережет. Доменные имена не дороги, а хранение старых доменов в вашем распоряжении - самый дешевый полис страхования кибербезопасности, который вы когда-либо приобретали.
Сзатмари рекомендует настроить комплексную электронную почту, которая перенаправляет всю входящую электронную почту доверенному администратору, тому, кто может просматривать корреспонденцию, адресованную бывшим и нынешним сотрудникам, а также электронные письма для сброса пароля для онлайн-служб.
Не отказывайтесь и от этого субдомена.
Взлом субдомена - это когда злоумышленник захватывает субдомен, например subdomain.yourdomain.com. Обычно это происходит, когда владелец домена закрывает службу, работающую в поддомене, и забывает обновить свою запись поддомена DNS, которая продолжает указывать на несуществующую службу.
Ранее в этом году Microsoft совершила эту ошибку новичка, не сумев защитить два поддомена, которые спамеры использовали для продвижения онлайн-казино. Если Microsoft, зрелый производитель программного обеспечения, ориентированный на безопасность, может совершить эту ошибку, скорее всего, ваша организация тоже.
Типичный случай захвата субдомена связан с тем, что организация настраивает субдомен для указания на стороннюю службу, такую как GitHub Pages, Heroku или Shopify. Если ваша организация позже завершит работу этой службы и, например, удалит свою учетную запись GitHub Pages, злоумышленник может повторно зарегистрировать эту учетную запись GitHub Pages (поскольку теперь она доступна всем желающим) и опубликовать все, что им нравится, на subdomain.yourdomain.com.
Как предотвратить захват поддомена
Ни один из навороченных дорогостоящих инструментов безопасности не может предотвратить захват субдомена, только организационная совместная работа. Кто управляет DNS вашей компании? Кто одобряет использование субдоменов для поддержки билетов, электронной коммерции или заполнения поля? Где находится переплет, цифровой или бумажный, который документирует и обеспечивает проверку поддоменов, когда они больше не используются?
Безопасность - это процесс, а не продукт, и этот трюизм становится очевидным при решении проблемы захвата субдоменов. Это может быть особенно проблемой в более крупных организациях, где ИТ и безопасность имеют свои отдельные отделы. Управление записями DNS, как правило, является обязанностью ИТ-отдела: заставить мою онлайн-штуку работать, чтобы я мог выполнять свою работу. Когда он появится вживую, кто будет следить за тем, чтобы он все еще использовался? Чья это функция?
Учитывая, насколько тривиальна атака с захватом поддомена, какой репутационный ущерб она может нанести вашему бренду и какие усилия не требуются для ее исправления - просто отредактируйте настройки DNS - стоит подумать о том, как интегрировать регулярную проверку поддоменов в вашу безопасность. рабочий процесс.
