小心這個被忽視的攻擊面:棄用域名
電子郵件是開啟私密王國的鑰匙。所有口令重置都要通過電子郵件,而棄用舊域名讓攻擊者可以很容易地重新註冊該域名來誘騙公司員工。
安全專家指出,棄用舊域名問題對律所而言尤其危險,因為律所間合作伙伴關係的建立、解除和合並很常見。合併或收購通常會形成新的公司新的品牌,隨之而來的就是新的域名或被併購公司舊品牌及舊域名的棄用。放任這些舊域名過期是非常危險的行為。
2017年,美國頂級律所間兼併創了紀錄,共發生了 102 起合併或收購。小型律所間併購案可能以千計。
為檢測棄用域名問題的嚴重性,安全研究員 Gabor Szathmari 重註冊了經歷過合併的多家律所的舊域名。他不過是設定了郵件伺服器,沒做任何黑客操作,就持續收到了機密資訊流,包括銀行往來郵件、其他律所的發票、客戶的敏感法律文書,還有來自LinkedIn的更新。
棄用域名可用於詐騙
同樣的方法也可用來進行詐騙。通過恢復之前運營在棄用域名上的網店,騙子可以從 archive.org 上下載原始網頁,偽裝成仍在營業的網店接下新的訂單和所付款項。
如果上一家網店有客戶關係管理(CRM)系統或用MailChimp進行市場營銷的話,罪犯就能通過基於電子郵件的口令重置接管這些賬戶,獲得上任店主的客戶列表。他們可以為這些客戶提供特殊折扣碼,激勵他們快下訂單,然而這些訂單永遠都不會送達,只有客戶支付的錢款會被罪犯捲走。
域名註冊機構每天都會把快過期的域名以域名刪除列表的形式公佈出來。不需要太多技術含量就可以下載這些列表並與併購訊息交叉對比,或者重註冊感興趣的域名。
Szathmari還成功利用這些重註冊的域名訪問過 HaveIBeenPwned.com 和 SpyCloud.com 的第三方資料洩露所涉口令庫。這兩個訪問都要求域名驗證,但只有了這些重註冊的域名,通過驗證很容易。因為口令重用氾濫成災,Szathmari表示他可以很輕鬆地用這些第三方口令攻擊受影響的員工,包括他們的工作和個人生活。
舊域名需保留多久?
謹慎小心保安全。域名又不貴,繼續保有舊域名已經是最便宜的網路安全保障策略了。
Szathmari建議設定一個總攬型電子郵件服務,負責將所有入站電子郵件重定向到可信管理員處,由這名管理員審查前任及現任員工的通訊地址,以及線上服務的口令重置郵件。