kiberbiztonság

Adatlopás feltörés nélkül. Egy elfelejtett domain ára.

Egy lejárt domain kritikus kiberbiztonsági kockázat. Betörés és hackelés nélkül lophatják el a céges e-maileket és jelszavakat. Tudd meg, hogyan!

· 3 perc
Adatlopás feltörés nélkül. Egy elfelejtett domain ára.

Két cég egyesül.

A régi cégnév még egyszer, utoljára felkerül a levélpapírra, aztán eltűnik.

Egy évvel később valaki egy kávé áráért regisztrálja az elengedett domaint.

A cég levelei egy idegen postafiókjába kezdenek beérkezni.

Senki nem tört fel semmit.

Akié a domain, azé a levelezés.

Az e-mail a domainre épül. Az MX-rekordja megmondja az internet összes levelezőszerverének, hová kézbesítse az adott domainre címzett üzeneteket.

Aki újraregisztrálja a lejárt nevet, az MX-rekordot a saját szerverére irányítja és bekapcsolja a catch-all funkciót, annak a postafiókjába fut be minden üzenet, amelyet a régi domain bármely címére küldtek.

Korábbi jelszó nem is kell hozzá.

Aki a névteret birtokolja, azé minden e-mail, amit a cégnek címeztek.

De van rosszabb is.

Akik a régi cégnél dolgoztak, ezekkel a címekkel regisztráltak mindenféle szolgáltatásra – Microsoft 365, Google Workspace, LinkedIn, bírósági ügyviteli portál, ügyvédi praxiskezelő szoftver. Sokan közülük azóta már új cégekhez kerültek.

A fiókok ma is élnek.

És mindegyik szolgáltatásban ott a gomb: „Elfelejtett jelszó”.

A jelszó-visszaállító linket az kapja meg, akié a domain.

A támadónak még keresgélnie sem kell.

A TLD-k nyilvántartói közül sokan naponta közzéteszik a lejáró domainneveket az úgynevezett drop listákon. Elég összevetni ezeket egy adott időintervallum fúziós bejelentéseivel, és kész is a munka.

Ez pontosan abban a pillanatban a legveszélyesebb, amikor egy domaint elengednek: fúzió, felvásárlás, márkaváltás, megszűnés esetén.

Ilyenkor a régi név megújítása már senkinek sem a feladata.

2017-ben csak a vezető amerikai ügyvédi irodák között 102 fúzió zajlott; a kis praxisok szintjén a szám ezres nagyságrendű.

A kockázat azonban túléli a céget.

A levelek tovább érkeznek – ügyfelektől, bankoktól, ellenérdekű ügyvédektől – egy céghez, amely már nem létezik. A volt munkatársakat a külvilág továbbra is megpróbálja elérni a hátrahagyott e-mail címen keresztül.

Gabor Szathmari 1 ausztráliai kiberbiztonság-kutató 2018-ban be is bizonyította ezt.

Három hónap alatt hat elhagyott domaint regisztrált újra, amelyek közül több korábban ausztráliai ügyvédi irodához tartozott, és a leveleiket saját magához irányította.

Bármiféle feltörés nélkül bizalmas ügyféliratokat, banki levelezést és más irodák számláit kapta meg.

Megmutatta, hogy vissza tudná állítani a jelszót az irodák Microsoft 365- és Google-fiókjain, valamint a volt munkatársak LinkedIn- és Facebook-profiljain – majd a tényleges belépéstől, a fiókok átvételétől szándékosan elállt. (Az egyik Microsoft 365-fióknál a kétfaktoros azonosítás a jelszó-visszaállítást megakadályozta.)

Korábbi nyilvános adatszivárgásokból mintegy harminc jogi szakember valódi jelszavához jutott hozzá.

A cég nap mint nap használt rendszereire jut biztonsági keret – tűzfal, többfaktoros azonosítás, munkatársi képzés.

A már nem használt domain csak egy megújítási értesítőt kap, amit senki nem nyit meg.

Ez a ki nem fizetett kb. tizenöt dollár a kulcs mindahhoz, amit a többi tétel hivatott megvédeni.

Lábjegyzetek

  1. Gabor Szathmari egyértelműen magyar név, viselője azonban minden fellelhető forrás szerint az angolos formában használja, ezért a cikkben is ez az alak szerepel.