电子邮件是打开私密王国的钥匙。所有口令重置都要通过电子邮件,而弃用旧域名让攻击者可以很容易地重新注册该域名来诱骗公司员工。
安全专家指出,弃用旧域名问题对律所而言尤其危险,因为律所间合作伙伴关系的建立、解除和合并很常见。合并或收购通常会形成新的公司新的品牌,随之而来的就是新的域名或被并购公司旧品牌及旧域名的弃用。放任这些旧域名过期是非常危险的行为。
2017年,美国顶级律所间兼并创了纪录,共发生了102起合并或收购。小型律所间并购案可能以千计。
为检测弃用域名问题的严重性,安全研究员 Gabor Szathmari 重注册了经历过合并的多家律所的旧域名。他不过是设置了邮件服务器,没做任何黑客操作,就持续收到了机密信息流,包括银行往来邮件、其他律所的发票、客户的敏感法律文书,还有来自LinkedIn的更新。
弃用域名可用于诈骗
同样的方法也可用来进行诈骗。通过恢复之前运营在弃用域名上的网店,骗子可以从archive.org上下载原始网页,伪装成仍在营业的网店接下新的订单和所付款项。
如果上一家网店有客户关系管理(CRM)系统或用MailChimp进行市场营销的话,罪犯就能通过基于电子邮件的口令重置接管这些账户,获得上任店主的客户列表。他们可以为这些客户提供特殊折扣码,激励他们快下订单,然而这些订单永远都不会送达,只有客户支付的钱款会被罪犯卷走。
域名注册机构每天都会把快过期的域名以域名删除列表的形式公布出来。不需要太多技术含量就可以下载这些列表并与并购消息交叉对比,或者重注册感兴趣的域名。
Szathmari还成功利用这些重注册的域名访问过HaveIBeenPwned.com和 SpyCloud.com的第三方数据泄露所涉口令库。这两个访问都要求域名验证,但只有了这些重注册的域名,通过验证很容易。因为口令重用泛滥成灾,Szathmari表示他可以很轻松地用这些第三方口令攻击受影响的员工,包括他们的工作和个人生活。
旧域名需保留多久?
谨慎小心保安全。域名又不贵,继续保有旧域名已经是最便宜的网络安全保障策略了。
Szathmari建议设置一个总揽型电子邮件服务,负责将所有入站电子邮件重定向到可信管理员处,由这名管理员审查前任及现任员工的通信地址,以及在线服务的口令重置邮件。