Двама изследователи, които направили домейни-двойници, имитиращи законни домейни, собственост на 500-те най-големи компании в света, споделят, че са успели да съберат 20 гигабайта поща със сгрешен адресат само за 6 месеца.
Прихванатата кореспонденция е включвала потребителски имена и пароли на служителите, поверителна информация за сигурността на компаниите - данни за конфигурацията на фирмените мрежи от компютри, които биха били полезни на хакери, декларации и други документи, свързани със съдебни дела на компанията, както и търговски тайни като договори или бизнес-транзакции.
"20 гигабайта данни е голямо количество за шест месеца, в които не се е правило нищо съществено," коментира Питър Ким от Godai Group. "Никой не знае, че това се случва".
Измами чрез запазване на под-домейни, подобни на поделения на известни фирми
Домейните-двойници имат почти еднакви имена с оригиналните домейни, но се различават по някой несъществен детайл - като липсваща точка, разделяща името на под-домейна от основния домейн, какъвто е случаят със seibm.com, двойник на истинския домейн se.ibm.cоm, който IBM използва за шведския си клон.
Ким и колегата му Гарет Гий, които тази седмица публикуваха резултатите от проучването си, откриват, че 30 на сто или 151 компании от класацията "Top 500" на сп. Fortune, са потенциално уязвими към измами от подобен вид, като сред тях попадат и топ-фирми в областта на продуктите за крайна консумация, технологиите, банкирането, интернет комуникацията, медиите, космическите полети, отбраната и дори компютърната сигурност.
Освен това учените са открили, че известен брой домейни-двойници на някои от най-големите компании в САЩ, вече са били регистрирани от Китай, което означава, че вероятно измамниците използват подобна методология, за да присвояват ценна фирмена информация.
Компаниите, които използват под-домейни, например за фирмени клонове, поместени в други държави, са уязвими към подобни вмешателства и са изложени на риск от изтичане на информация, когато служителите неволно объркат имейл адреса на получателя.
За получаването на вътрешна кореспонденция дори не са нужни особени усилия
Всичко, което е нужно на един измамник в случая, е да регистрира домейн-двойник и да конфигурира имейл сървър, който да улавя всяка кореспонденция, адресирана до този домейн. Атакуващият разчита на факта, че потребителите винаги изписват погрешно адресите на определен процент имейли, които изпращат.
"Повечето от уязвимите комании имат само един или два под-домейна, така че при тях ситуацията не е толкова тежка," разкрива Ким. "Но някои големи компании имат над 60 поддомейна - и това ги прави наистина застрашени".
За да тестват тази уязвимост, изследователите регистрират 30 домейна-двойници на различни фирми и откриват, че са успели да привлекат на 120 000 имейла за шестмесечния период на тестове.
Сред събраните имейли е имало такъв, който изброявал пълните детайли за конфигурация на външните Cisco рутери на голяма IT консултантска фирма, наред с пароли за достъп до устройствата.
Друго съобщение, насочено до компания извън САЩ, управляваща системите за пътни такси на магистралите, предоставя информация за пълен мрежови достъп до системата, която поддържа апаратите за таксуване. Имейлът е включвал важна информация за VPN софтуера, както и потребителски имена и пароли.
Изследователите се добрали по време на опита си и до значителен брой фактури, договори и доклади. Един от прихванатите имейли е съдържал договори за продажба на петрол от Близкия Изток на големи петролни компании.
Към друг е бил прикрепен дневен отчет от голяма петролна компания - с детайли за съдържанието на всички нейни танкери за деня. Трето писмо предоставяло доклади от хигиенните служби за известен ресторант, в които излизали наяве очевидните проблеми на заведението с мишки. Фирмените данни не са единствената информация, изложена на риск от присвояване.
Изследователите са успели да се доберат и до множество лични данни на служителите, включително баланс по кредитни карти и информация, която би помогнала на престъпниците да се доберат до потребителските акаунти за онлайн банкиране на работниците.
Измамниците биха могли да действат като "посредници" и да препращат прихваната поща
Цялата тази информация е присвоена пасивно - само чрез създаването на домейн-двойник и имейл сървър. Но някои хора са способни на много по-активни атаки срещу две кореспондиращи помежду си компаниии.
Хакерите биха могли да създадат домейни-двойници и за двете фирми и да чакат сгрешената кореспонденция да се окаже в сървъра им, след което да напишат код, чрез който писмата да се препращат към правилния получател.
Например, атакуващият би могъл да закупи домейните uscompany.com и usbank.com. Когато някой от оригиналната фирма с домейн us.company.com допусне грешка в имейла, адресиран до usbank.com вместо до us.bank.com, атакуващият ще получи този мейл, след което ще го препрати на us.bank.com.
Стига получателят да не забележи, че имейлът идва от грешен адрес, той ще му отговори, изпращайки писмото си до домейна-двойник uscompany.com. След това, софтуерът може да препрати кореспонденцията на правилния имейл в us.company.com.
Някои компании се защитават от измами с домейни-двойници, като купуват всички вариации на имената на своите домейни, или пък предоставят тази дейност на специални компании за управление на самоличността. Изследователите обаче откриват, че много големи компании, които използват под-домейни, не са се защитили по този начин.
Много такива домейни вече са регистрирани от китайци с цел промишлен шпионаж
Сред компаниите, чиито домейни-двойници вече са купени в Китай, са Cisco, Dell, HP, IBM, Intel, Yahoo и Manpower. Лице, чийто регистрационни данни сочат, че се намира в Китай, вече е регистрирало kscisco.com - двойник на ks.cisco.com. Друг потребител, също с китайски произход, е запазил nayahoo.com - вариант на оригиналният домейн na.yahoo.com (под-домейн на търсачката в Намибия).
Ким споделя, че от 30-те домейни-двойници, които са създали, само една компания е забелязала регистрацията на имитиращ оригиналния им домейн и е заплашила със съд, ако собственикът не се откаже от него, което двамата изследователи са сторили незабавно. Той разкрива, че от всичките 120 000 имейла, изпратени погрешка на домейните-двойници, само двама души са забелязали сгрешения адрес и са уведомили изследователите.
Един от тези двама души изпратил последващ имейл с въпросителна в него, вероятно за да види дали ще последва отговор. Другият "усетил се" изпратил запитване до същия адрес, в което задал въпроса къде точно се е озовал имейлът му.
Компаниите имат възможност да решат проблема си поне частично, като закупят всички домейни-двойници, които все още са достъпни в съответната държава. Но случая с домейни, които вече са закупени от външни лица, Ким препоръчва на компаниите да конфигурират собствени мрежи, които да блокират DNS и вътрешни мейлове, изпратени погрешка от служителите към домейни-двойници.
Това не би могло да спре присвояването на поща, която външни лица изпращат към фалшиви домейни, но поне ще намали количеството имейли, до които биха могли да се доберат натрапниците.
