Mark Stockley, független webes tanácsadó, a Sophos NakedSecurity blogból
Biztonsági kutatók elfogtak 120,000 a Fortune 500-as listán szereplő vállalatnak szánt emailt, amelyek egy alapvető gépelési hibát használnak ki. Az emailek kereskedelmi titkokat, üzleti számlákat, dolgozók személyes adatait, hálózati diagramokat és jelszavakat tartalmaznak.
Peter Kim és Garrett Gee kutatók 30 internetes tartományt vásárolva hajtották ezt végre. Ezek olyan tartományok, amelyekre szerintük az emberek véletlenük küldhetnek emaileket (a gyakorlatban ezt typosquatting-nak, vagy URL eltérítésnek is hívják).
Az általuk választott tartománynevek eléggé hasonlítottak a Fortune 500-as cégek által használtakhoz, kivéve egy hiányzó pontot.
A tartománynevek megvásárlása után csak hátradőltek és figyelték, amint a felhasználók tévedésből 120,000 emailt küldtek nekik 6 hónap alatt.
Kim és Garrett nem azonosította be célpontjait, de felfedték, hogy a Fortune 500-as cégek 151-es listájából választottak, amelyeket sérülékenynek minősítettek a typosquatting ezen variánsára. A zsúfolt lista olyan neveket tartalmazott, mint a Dell, a Microsoft, a Halliburton, a PepsiCo és a Nike.
Az összegyűjtött emailek néhány igencsak aggasztóan érzékeny vállalati információt tartalmaztak, köztük:
- Jelszavak egy IT cég külső Cisco routereihez
- Egy hatalmas olajcég olajtanker hajói tartalmának részletes leírását
- Országúti ellenőrző kapukat menedzselő rendszer VPN részletei és jelszavai
A kutatók ezen felül arra is figyelmeztettek, hogy milyen könnyű volt a passzív typosquatting támadást egy sokkal veszélyesebb MITM támadásba átfordítani. Egy ilyen jellegű támadással teljes emailes beszélgetéseket foghatnának el a különálló emailek helyett.
Egy MITM (man-in-the-middle, azaz ember a középpontban) támadás végrehajtásához egy támadó bármilyen megkapott emailt egyszerűen továbbítja azokhoz a címzettekhez, akiknek elsősorban szólt volna. A továbbított emaileket úgy módosítják, hogy a támadó által beállított hamis válaszcímre érkezzen vissza az email.
Az emailek ilyen módon történő módosításával a támadó önmagát mint csendes kapcsolatot iktatja be az összes beszélgetésben résztvevő egyén közé.
A typosquatting nem egy újkeletű dolog, éppen ezért is megdöbbentő, hogy a kutatók ennyi információt tudtak elfogni csak egy általános hibára koncentrálva. 20 Gbyte adatot tudtak elfogni 6 hónap alatt csak alapfokú technikai képességekkel és a 30 tartomány darabjáért is csak néhány dollárt fizettek.
Egy mérsékelt anyagiakkal rendelkező eltökélt támadó könnyedén megvehet olyan tartományokat, amelyek szervezetek egész garmadáját fedheti le a hasonló támadásoknál.
A hat hónapnyi typosquat támadásuk során mindösszesen csak egy célvállalat tett lépéseket Kim és Garrett ellen.
Szóval akkor hogyan is védheti meg magát az ilyenfajta kéretlen támadások ellen?
Először is titkosítsa és védje jelszóval az érzékeny adatait, így ha valahogyan rossz kezekbe kerülnének, nem lehetne felhasználni őket.
A szervezetek megelőzhetik, hogy az emailek bizonyos elgépelt tartományokba mehessenek ki, mindezt a DNS vagy levelező szervereik konfigurációján keresztül. Persze ez a megközelítés nem fogja megakadályozni a szervezetén kívüli embereket abban, hogy elgépeljék az Ön tartománynevét.
A védelemhez védekezésképpen akár olyan tartományokat is megvásárolhat, amelyek jó typosquatting célpontoknak minősülhetnek.
Végül pedig ha azt hiszi, hogy valaki typosquatting támadást használ az Ön vállalata ellen, akkor beiktathat egy UDRP-t ellenük (Uniform Domain Dispute Resolution Policy).
Ha szeretne többet tudni erről a kutatásról, olvassa el Peter Kim és Garrett Gee „Doppelganger Domains" című tanulmányát.
További információ angol nyelven