kiberbiztonság

Adatlopás egyszerű újraregisztrációval. Egy elfelejtett domain ára.

Egy lejárt domain komoly kiberbiztonsági kockázatot jelent. A volt céges e-mailek és jelszavak a név újbóli lefoglalásával idegen kezekbe kerülhetnek, ami súlyos adatbiztonsági incidensekhez vezet.

· 3 perc
Adatlopás egyszerű újraregisztrációval. Egy elfelejtett domain ára.

Két cég egyesül.

A régi cégnév még egyszer, utoljára felkerül a levélpapírra, majd végleg eltűnik.

Egy évvel később valaki aprópénzért regisztrálja az elengedett domaint.

A vállalatnak szánt levelek ezután egy idegen postafiókjába érkeznek.

A hozzáféréshez puszta újraregisztrációra volt szükség.

Akié a domain, azé a levelezés.

Az e-mail a domainre épül. Az MX-rekord utasítja az internet összes levelezőszerverét arra, hová kézbesítse az oda címzett üzeneteket.

Aki lefoglalja a lejárt nevet, a saját szerverére irányítja az MX-rekordot és bekapcsolja a catch-all funkciót, közvetlenül a postafiókjába kapja a régi domain összes címére küldött üzenetet.

Korábbi jelszó nem is kell hozzá.

Aki a névteret birtokolja, azé minden e-mail, amit a cégnek címeztek.

De van rosszabb is.

Akik a régi cégnél dolgoztak, ezekkel a címekkel regisztráltak mindenféle szolgáltatásra – Microsoft 365, Google Workspace, LinkedIn, bírósági ügyviteli portál, ügyvédi praxiskezelő szoftver. Sokan közülük azóta már új cégekhez kerültek.

A fiókok ma is aktívak.

És mindegyik szolgáltatásban ott a gomb: „Elfelejtett jelszó”.

A jelszó-visszaállító linket az kapja meg, akié a domain.

A támadónak még keresgélnie sem kell.

A folyamatot a nyilvános adatbázisok is felgyorsítják. A TLD-k nyilvántartói közül sokan naponta közzéteszik a lejáró domainneveket a drop listákon. Ezeket az adatokat egy adott időszak fúziós bejelentéseivel összevetve a támadók könnyen azonosítják a célpontokat.

A domainek elengedése pontosan a fúziók, felvásárlások, márkaváltások és cégmegszűnések pillanatában hordozza a legnagyobb kockázatot.

Ilyenkor a régi név megújítása már kikerül a napi feladatok közül.

2017-ben pusztán a vezető amerikai ügyvédi irodák között 102 fúzió zajlott, a kis praxisok szintjén pedig ezres nagyságrendű volt ez a szám.

A kockázat messze túléli az eredeti céget.

A levelek – ügyfelektől, bankoktól, ellenérdekű ügyvédektől – továbbra is érkeznek az egykori vállalkozáshoz. A külvilág a hátrahagyott e-mail címeken próbálja elérni a volt munkatársakat.

Gabor Szathmari 1 ausztráliai kiberbiztonság-kutató 2018-ban a gyakorlatban is igazolta ezt.

Három hónap alatt hat elhagyott domaint regisztrált újra, amelyek közül több korábban ausztráliai ügyvédi irodához tartozott, majd a leveleket saját magához irányította.

Bármiféle feltörés nélkül bizalmas ügyféliratokat, banki levelezést és más irodák számláit kapta meg.

Puszta újraregisztrációval bizalmas ügyféliratokhoz, banki levelezésekhez és más irodák számláihoz jutott hozzá.

Bebizonyította, hogy képes visszaállítani a jelszavakat az irodák Microsoft 365- és Google-fiókjainál, valamint a volt munkatársak LinkedIn- és Facebook-profiljainál. A tényleges belépéstől és a fiókok átvételétől szándékosan elállt. (Az egyik Microsoft 365-fióknál a kétfaktoros azonosítás megakadályozta a jelszó-visszaállítást.)

Korábbi nyilvános adatszivárgásokból mintegy harminc jogi szakember valódi jelszavához jutott hozzá.

A vállalatok jelentős keretet fordítanak az aktívan használt rendszerek védelmére: tűzfalakra, többfaktoros azonosításra és a munkatársak képzésére.

A már nem használt domainhez ezzel szemben mindössze egy megújítási értesítő érkezik, amelyet senki sem olvas el.

Ez a ki nem fizetett, nagyjából tizenöt dollár biztosít hozzáférést mindahhoz, amit a többi védelmi elem hivatott megóvni.

Lábjegyzetek

  1. Gabor Szathmari egyértelműen magyar név, viselője azonban minden fellelhető forrás szerint az angolos formában használja, ezért a cikkben is ez az alak szerepel.