电子邮件掌握着通往王国的钥匙。您所有的密码重置都是通过电子邮件进行的,放弃旧域名会让攻击者很容易重新注册旧域名并获取您的东西。
安全研究员Gabor Szathmari指出,对于合伙企业经常形成、解散和合并的律师事务所来说,这个问题尤其严重。合并或收购通常涉及新公司的新品牌,并使用新的域名进行匹配,或者被收购的公司放弃旧的品牌和域名。让这些旧域名过期是危险的。
萨特马里写道,在美国,2017年是顶级律师事务所并购创纪录的一年,全年有102宗合并或收购,在小型律师事务所层面,这一数字可能会达到数千起。
为了测试问题到底有多严重,Szathmari为几家合并后的律师事务所重新注册了旧域名,设置了一台电子邮件服务器,在没有黑客攻击的情况下,他说他收到了源源不断的机密信息,包括银行通信、其他律师事务所的发票、客户的敏感法律文件,以及来自LinkedIn的更新。(Szathmari正在努力将受影响的域名归还给它们的原始所有者。)。
他说,同样的技术很容易被用来实施欺诈。他在写给CSO的一封电子邮件中写道,通过恢复以前在废弃域名上运营的在线网店,不良分子可以从Archive.org下载原始网页,然后通过伪装成功能齐全的网店接受新的订单和付款。";他在给CSO的一封电子邮件中写道,坏人可以从Archive.org下载原始网页,然后假扮成功能齐全的网店接受新的订单和付款。
他补充说,如果以前的网店有CRM系统或MailChimp进行营销活动,犯罪分子可以通过重新设置基于电子邮件的密码来接管这些账户,从而访问以前客户的名单。他们可以向他们提供一个特殊的折扣代码,以鼓励他们提交永远不会发货的订单。天空是极限。
即将到期的域名由域名注册机构以域名删除列表的形式每天发布。不需要犯罪策划者每天下载这些名单,并将它们与相关行业酒吧的并购新闻进行交叉对照,或者只是重新注册任何他们喜欢的域名。
Szathmari还能够使用重新注册的域名通过haveibeenpwned.com和SpyCloud.com访问第三方攻破密码。这两项服务都需要域名验证,一旦您拥有有问题的域名,就很容易绕过这一防御措施。由于密码重复使用仍然猖獗,Szathmari写道,他本可以很容易地使用这些第三方密码来危害受影响的员工,包括他们的商业和个人生活。
安全总比后悔好。域名并不贵,而保留旧域名是你购买过的最便宜的网络安全保险单。
Szathmari建议建立一个包罗万象的电子邮件服务,将所有收到的电子邮件重定向到值得信任的管理员,这个管理员可以查看写给前任和现任员工的信件,以及在线服务的密码重置电子邮件。
子域劫持是指攻击者接管一个子域,例如subdomain.youdomain.com。当域所有者关闭在子域上运行的服务,并且忘记更新继续指向不存在的服务的DNS子域记录时,通常会发生这种情况。
今年早些时候,微软犯下了这个新手错误,未能确保垃圾邮件发送者用来推广在线扑克赌场的两个子域的安全。如果微软,一家成熟的专注于安全的软件制造商,能够犯下这个错误,那么您的组织很可能也会犯同样的错误。
常见的子域接管事件涉及组织将子域设置为指向第三方服务,例如GitHub Pages、Heroku或Shopify。例如,如果您的组织稍后终止该服务并删除其GitHub Pages帐户,则攻击者可以重新注册该GitHub Pages帐户(因为它现在对所有用户都可用),并在subdomain.youdomain.com上发布他们喜欢的任何内容。
任何花哨而昂贵的安全工具都不能阻止次要的接管,只有组织的合作才能阻止。谁管理贵公司的DNS?谁批准将子域用于支持票务或电子商务或填空?当子域不再使用时,用于记录和强制检查它们的活页夹(数字的或纸质的)在哪里?
安全是一个过程,而不是一个产品,在解决子域名接管问题时,这一老生常谈成为焦点。在IT和安全部门各有不同部门的大型组织中,这可能是一个特别的问题。管理DNS条目通常是一项IT工作职能--让我的在线工具上线,这样我就可以做我的工作了。一旦它上线了,谁来记录它还在使用中呢?那是谁的工作职责?
考虑到子域接管攻击是多么微不足道,它可能对您的品牌造成多大的声誉损害,而且几乎不需要付出什么努力来修复它-只需编辑您的DNS设置-就值得考虑如何将常规的子域检查集成到您的安全工作流程中。