“Заброшенный” домен – радость хакеров

Группа исследователей под руководством Габора Шатмари наглядно продемонстрировала опасность доменных имен, от использования которых по тем или иным причинам отказались прежние владельцы.

Как известно, если регистрация доменного имени не продлевается, компания-регистратор предоставляет дополнительный срок (обычно – 30 дней), в течение которого регистрант все еще может вернуть себе контроль над доменом. Если же этого не происходит, домен выставляется на продажу. Существует немало ресурсов, публикующих списки таких доменных имен, для удобства пользователей разбитых на группы, соответствующие, например, различным сферам бизнеса.

Для своего эксперимента ученые приобрели несколько доменов, ранее принадлежавших австралийским юридическим фирмам. Вместе с доменными именами они получили и соответствующие адреса электронной почты. Далее они настроили в почтовом сервере функцию Catch-all. Она позволяет перенаправлять все сообщения для адресов домена (включая и уже несуществующие) на один конкретный адрес. В результате за месяц в руках исследователей оказалось порядка 25 тысяч электронных писем, сообщает ресурс Bleeping Computer. Наряду с неизбежным спамом, письма содержали информационные бюллетени, отчеты, обращения и другую важную информацию от клиентов и партнеров бывших владельцев домена.

Этим угрозы далеко не исчерпываются. Служебный адрес электронной почты, как правило, используется для смены пароля учетных записей компании в различных онлайн-сервисах. Исследователи успешно прошли все этапы смены пароля учетной записи в G Suite, ассоциированной с их адресом электронной почты. Менять пароль они не стали исключительно по этическим соображениям. Кроме того, общеизвестно, что сотрудники компаний часто используют служебные адреса электронной почты для регистрации в различных социальных сетях, в частности – в Twitter, Facebook и LinkedIn. Исследователи смогли получить все необходимые подтверждения для смены паролей нескольких бывших сотрудников компании, ранее владевшей доменом. Таким образом, они были вполне в состоянии похитить их учетные записи.

Габор Шатмари и его коллеги настоятельно рекомендуют всем владельцам доменных имен – и в первую очередь предприятиям и организациям – задуматься над результатами исследования. Наилучший способ избежать описанных проблем, разумеется, состоит в том, чтобы своевременно продлевать регистрацию доменных имен. Если же компания прекращает свое существование или по каким-то причинам не желает далее использовать домен, необходимо принять меры предосторожности. Как минимум, нужно уведомить клиентов и партнеров о прекращении использования домена и соответствующих адресов электронной почты, отписаться от всех рассылок, которые могут содержать важные данные, и удалить учетные записи служебной электронной почты. Сотрудникам компании (действующим или бывшим) также следует сменить адреса электронной почты, ассоциированные с учетными записями в различных социальных сетях. Наконец, исследователи напоминают о том, что избежать утечки данных и похищения учетных записей в большинстве случаев поможет настройка двухфакторной аутентификации.

Источник: сctld