|
Двое исследователей, создавшие домены-двойники для того, чтобы имитировать
легальные домены, принадлежащие компаниям из списка Fortune 500, говорят, что
более чем за 6 месяцев они получили до 20 Гб неправильно адресованных
электронных писем.
Захваченная переписка содержала системные имена и пароли сотрудников,
конфиденциальную информацию о конфигурации сетей компаний, которая могла быть
полезна хакерам, показания и другие документы, связанные с защитой в судебных
процессах, в которых участвовали компании, а также коммерческую тайну, такую как
контракты на бизнес транзакции.
"Двадцать гигов информации — это большое количество информации, добытой без
особого труда за шесть месяцев", - говорит исследователь Питер Ким из Godai
Group. "И никто даже не знал, что это происходит".
Домен-двойник — это домен, который имеет почти такое же название, как
легальный домен, но оно совсем немного отличается. Например, отсутствует
разделитель субдомена от названия основного домена - как в случае seibm.com и
se.ibm.com, который IBM использует для своего отделения в Швеции.
Ким и его коллега Гарет Ги, опубликовавшие свою научную работу на прошлой
неделе, обсуждая свое исследование рассказали, что 30% из 151 компании, входящих
в список Fortune 500, были потенциально уязвимы к захвату электронной почты с
помощью таких схем, в том числе ведущие компании в сферах производства
потребительских продуктов, технологий, банковского бизнеса, интернет-связи,
средств массовой информации, аэрокосмической, оборонной, и компьютерная
безопасности.
Исследователи также обнаружили некоторое количество доменов-двойников,
появившихся в Китае. Они полагают, что шпионы могут уже использовать их для
перехвата ценной корпоративной информации.
Компании, которые используют поддомены - например, для подразделений,
расположенных в различных странах - уязвимы для перехвата информации, их почта
может быть перехвачена в случае если пользователи ошиблись при вводе адреса
электронной почты получателя. Все, что нужно сделать злоумышленнику, это
зарегистрировать домен-двойник и изменить настройки сервера электронной почты,
чтобы в полном объеме получать всю корреспонденцию на имя любого в этом домене.
Злоумышленник опирается на тот факт, что пользователи всегда совершают
определенный процент ошибок при отправке электронных писем.
"Большинство [уязвимых компаний] имели только один или два поддомена", -
говорит Ким. "Но некоторые из крупных компаний имеют по 60 поддоменов и могут
быть очень уязвимы".
Для проверки уязвимости, исследователи создали 30 учетных записей-двойников
для различных фирм и обнаружили, что учетные записи привлекли 120 000
электронных писем за шестимесячный период тестирования.
Среди собранных электронных писем было, например, одно, содержавшее все
конфигурации для внешних маршрутизаторов Cisco крупной консалтинговой IT-фирмы,
вместе с паролями для доступа к устройствам. Другое письмо было направлено
компании за пределами США, управляющей системой платных автомагистралей и
содержало информацию для получения полного VPN-доступа к системе, обеспечивающей
работу платных автомагистралей. Письмо содержало информацию о программном
обеспечении, имена пользователей и пароли.
Исследователи также собрали большую коллекцию счетов, контрактов и отчетов.
Одно электронное письмо содержало контракты на поставки нефти с Ближнего Востока
крупным нефтяным фирмам, а в другом, находился ежедневный отчет крупной нефтяной
компании, где было подробно изложено количество всех отгруженных танкеров на
текущий день.
Третье электронное письмо содержало отчет ECOLAB, сделанный для популярного
ресторана, включающий и информацию о проблемах ресторана с мышами. ECOLAB -
фирма из Миннесоты, которая обеспечивает дезинфекцию и безопасность пищевых
продуктов и услуг для других компаний.
Захват информации компании — не единственная угроза. Исследователи также
смогли собрать персональные данные о благосостоянии сотрудников, включая выписки
по кредитным картеам и информацию, которая помогла бы получить доступ к
банковским онлайн-счетам работников.
Вся эта информация была получена пассивно, просто путем создания
домена-двойника и почтового сервера. Но кто-нибудь может провести активную атаку
между двумя организациями, состоящими в переписке. Злоумышленник может создать
домен-двойник для обоих организаций и ждать, когда корреспонденция, отправленная
с ошибкой в адресе, придет на сервер-двойник, а затем написать сценарий для
пересылки электронной почты законному получателю.
Например, злоумышленник может приобрести домен-двойник для uscompany.com и
usbank.com. Когда кто-то с us.company.com опечатается в адресе электронного
письма "usbank.com" вместо "us.bank.com", злоумышленник получит его, а затем
перешлет на us.bank.com. До тех пор, пока получатель не заметит, что письмо
пришло с неверного адреса, он будет отсылать письма на него же, тем самым,
отправляя письма прямо злоумышленнику на домен-двойник uscompany.com . Скрипт
атакующего перенаправит корреспонденцию прямо на адрес us.company.com.
Некоторые компании пытаются защитить себя от ущерба, наносимого
доменами-двойниками, путем скупки всех вариаций своих доменных имен. Но
исследователи обнаружили, что многие крупные компании, которые используют
поддомены, не смогли защитить себя таким образом. Они обнаружили, что в случае с
некоторыми компаниями их домены-двойники уже были захвачены субъектами,
находящимися в Китае - некоторые из которых могут быть связаны с прошлыми
вредоносными атаками, проведенными через учетные записи электронной почты,
которыми компании пользовались прежде.
Некоторые компании, чьи домены-двойники уже захвачены неизвестными в Китае,
это Cisco, Dell, HP, IBM, Intel, Yahoo и Manpower. Например это китайский домен
kscisco.com, домен-двойник для ks.cisco.com. Другой пользователь, который
находится в Китае, зарегистрировал nayahoo.com - вариант легального домена
na.yahoo.com (субдомен для Yahoo в Намибии).
Ким сказал, что из 30 доменов-двойников, созданных исследователями, только
одна компания заметила, что они зарегистрировали домен и пригрозила им судебным
процессом, если они не откажутся от права собственности на него, что они и
сделали.
Он также сказал, что из 120 тысяч электронных писем, что люди по ошибке
отправили на их домены-двойники, только два отправители указали, что они
заметили ошибку. Один из отправителей послал следом электронное письмо с
вопросом в нем, возможно, чтобы проверить, вернется ли оно обратно. Другой
пользователь послал по электронной почте запрос на тот же адрес с вопросом, куда
попала его почта.
Компании могут частично решить проблему, скупая любые доступные им
домены-двойники. Но в случае, когда домен уже принадлежит третьему лицу, Ким
рекомендует компаниям так настраивать свои сети, чтобы блокировать DNS и
пересылку работниками внутренних электронных сообщений с неправильно написанным
адресом, которые могут попасть на домен-двойник. Это не помешает кому-то
перехватывать электронные письма, которые третьи лица отправляют на
домены-двойники, но, по крайней мере, сократит количество корреспонденции,
которую смогут захватить злоумышленники.
|
, 
