Доменное имя, однажды оставленное вами, может догнать вас – предоставив мошенникам доступ к драгоценному кладу конфиденциальной информации.
Киберпреступники могут воспользоваться оставленным доменным именем, чтобы получить всю частную информацию, принадлежащую компании, которая прежде владела доменом, а также ее клиентам и сотрудникам, предупреждает исследователь.
Габор Сатмари (Gabor Szathmari) описал, как новый владелец домена может, среди прочего, взять под контроль учетные записи электронной почты предыдущего владельца, связанные с доменом. Из них злонамеренный владелец домена может получить доступ к конфиденциальной информации или похитить учетные записи пользователя в различных онлайн-сервисах – и с минимальными усилиями и нулевыми познаниями по части взлома программ обогатиться.
Чтобы продемонстрировать эти довольно малоизвестные риски, команда под руководством Сатмари перерегистрировала шесть доменных имен с истекшими сроками действия, некоторые из которых ранее принадлежали нескольким австралийским юридическим фирмам. Затем все учетные записи электронной почты, связанные с доменами, были настроены на пересылку всех входящих электронных писем, которые были предназначены для прежних владельцев доменов, в «общедоступный» сервис электронной почты, контролируемый исследователями. Затем команда «просто стала ждать, когда электронные письма начнут приходить».
И они начали приходить. За три месяца пришло 25 000 электронных писем. Отделив зерна от плевел, в нескольких электронных письмах они нашли настоящие драгоценные камни. Это была конфиденциальная информация о юридической практике и ее клиентах, в том числе стенограммы судебного процесса и другие конфиденциальные юридические документы, а также счета-фактуры поставщиков, выписки из банковских счетов и т.п.
Копнув еще глубже, исследователи показали, что они могли бы легко выдавать себя за практикующих юристов с тем, чтобы обманывать своих клиентов или, поменяв пароли, получить доступ к учетным записям Office 365 и G Suite фирмы.
Комбинируя информацию, доступную в средствах поиска уязвимых данных SpyCloud и HaveIBeenPwned, а также злоупотребляя функциями смены пароля в социальных сетях, они смогли бы также легко похитить несколько личных или связанных с работой учетных записей практикующих юристов на ряде платформ, в частности, LinkedIn, где потенциальные жертвы часто указывали адреса своей служебной электронной почты. Было обнаружено, что те же опасности относятся и к учетным записям пользователей на специализированных веб-порталах.
Все то, что вы не можете оставлять
В исследовании основное внимание уделялось доменным именам, когда-то принадлежавшим австралийским юридическим фирмам, поскольку эти фирмы и, само собой разумеется, не только в Австралии, часто сливаются или приобретаются, иногда оставляя старые доменные имена дожидаться окончания срока своего действия. Раскрывающиеся списки доменных имен можно легко найти в Интернете.
Конечно, в зоне риска находятся и другие компании. Беседуя с научным руководителем компании, Сатмари рассказал об опасностях для интернет-магазинов и их клиентов. «Восстановив интернет-магазин, ранее работавший на оставленном доменном имени, недобропорядочные деятели могут загрузить оригинальные веб-страницы с сайта archive.org, а затем принимать новые заказы и платежи, выдавая себя за полноценный веб-магазин», – написал он.
Самый простой способ, как организации могут предотвратить данную угрозу – это автоматически обновлять свои доменные имена, даже если они больше ими не используются, в течение неопределенного периода времени. К другим превентивным мерам относятся закрытие, изменение или устранение связей учетных записей пользователей, зарегистрированных на рабочих адресах электронной почты, с применением двухфакторной аутентификации, где бы они не находились, а также, как всегда, с помощью создания сильных и уникальных паролей.
Источник: Welivesecurity