Fintech Giant Fiserv使用无人认领的域名

2021-03-17 23:55:16

如果您为引用未注册域名引用的Live和Ship代码销售基于Web的软件,则要求您询问麻烦。但是,当一个财富500强公司制造同样的错误时,结果可以从昂贵到灾难性的过程中。以下是Fiserv [纳斯达克:FISV],为60亿美元的公司致辞的一个这样的rof,为数千名金融机构提供网上银行软件和其他技术解决方案。

2020年11月,从安全研究员亚伯拉罕弗雷那里听到了Kressecurity,他注意到从他的金融机构检查电子邮件时注意到一些奇怪的东西。

Vegh可以从他的银行看到消息引用了一个好奇的域名:defaultinstitution.com。快速搜索WHOIS注册记录显示域未注册。想知道他是否可以接收到该地址的电子邮件通信如果他注册了该地址,vegh将其抢购几美元,为此设置了一个捕获的所有电子邮件帐户,等待。

“似乎域名被提供为默认提供,客户银行IT部门要么假设他们不需要更改它,或者不知道他们可以/应该/应该,”vegh说,注意到那个偶然的恶意人士在他的发现之前,可能拥有一个强大的,可信的域名来推出电子邮件网络钓鱼攻击。

起初,只有几块电子邮件到达。讽刺地,一个是来自Fiserv的“质量保证”经理。自动回复留言表示,员工已从办公室中出来“R& R”,并将在12月14日开始工作。

许多其他电子邮件倒入,包括众多“反弹”消息,以Casheded.com回复了FiscEdge.com,这是Fiserv在2011年获得的汇款服务。

电子邮件会被反弹 - 或返回给发件人 - 当它们发送到不存在的地址或不再活动的地址时。已将消息发送给Fiserv的前客户解决方案总监的电子邮件地址;这些枚举中的“回复 - :”地址是“[email protected]”。

这些消息是向客户通知CashEdge的主要服务Popmoney - 这让用户直接从银行账户发送,要求和收到资金 - PopMoney正在被Zelle更换,更现代的银行到银行转账服务。

每个CashEdge Missive都包含有关被取消的重复转移的信息,例如计划ID,发送日期,要转让的金额,帐号的姓名和最后四位数字来自收件人的电子邮件地址帐户。

令人难以置信的是,在CashEdge / PopMoney客户的每条消息的底部都是一个样板文本:“此电子邮件已发送到[此处的收件人名称]。如果您已收到此电子邮件错误,请向[email protected]发送电子邮件。“

针对客户回复研究人员的域的其他服务包括Fiserv Customer Netspend.com,这是未按最低余额或信用检查的预付借记卡的领先提供商。来自Netspend的消息所有都是确认与新帐户相关联的电子邮件地址,并通过其服务设置“Me-to-Me Transfers”。

每条消息都包括一个单时间代码,提示收件人输入公司网站。但是从阅读这些枚举的许多答复,似乎Netspend并没有让它非常明显,在用户应该输入这个代码。这是客户响应的更亵渎示例之一:

Netspend电子邮件发送的许多其他人表达了MyStification,为什么他们收到此类消息,说明他们从未注册过服务。从这些消息的要点来看,受访者是身份欺诈的受害者。

“我的账户被黑了,如果你的[SIC]从我和联邦贸易委员会起诉,”一篇写道。 “我没有创建帐户。请停止这个帐户,让我知道发生了什么,“另一个人回答说。 “我从未注册过这项服务。别人正在使用我的信息,“写了三分之一。

基于纽约的联盟银行还向研究员的域发送了客户信息。这些消息都旨在确认收件人将其账户与另一个银行的人员联系在一起。在这两种情况下,接受者回答说他们没有授权联系。

为了响应KresOneEcurity的问题,Fiserv承认它已无意中包含对DefaultInstitution.com的引用作为某些合作伙伴使用的软件解决方案中的占位符。

“我们已经确定了5个客户,为其客户提供了自动生成的电子邮件,包括在”回复“地址中的域名”defauleinstitution.com“,”fiserv在一份书面声明中表示。 “在实施这些解决方案期间,此占位符URL无意中保持不变。在意识到某种情况后,我们立即进行了分析来定位和替换占位符域名的实例。我们还通知客户收到这些电子邮件的客户。“

这不是Fiserv的第一次监督危害其客户的安全和隐私。 2018年,KRESONSECURITY揭示了在销售给数百家银行的软件平台中的编程弱点是如何暴露无数客户的个人和财务数据。 Fiserv后来被信用合作社客户签署了这个问题;诉讼仍在进行中。

vegh表示,他在2015年回到了费城联邦储备银行的承包商的同时找到了类似的域名罗福。在那个例子中,他发现了由AirWatch调用的未注册的域,它是由VMware获取的移动设备管理产品。

“在注册该域之后,我开始从Fortune 500公司在Ping域的财富500强公司设备上获取流量,”vegh说。

vegh表示,他计划将Fiserv控件与DefaultInstitution.com提供给Fiserv控件,并交出收件箱拦截的消息。他没有要求回报。

“我被答复了一个T恤和啤酒的努力,但是,唉,从未收到过,”他与AirWatch的互动说道。 “这次,我希望真正收到一件T恤!”