Céges információk lophatók az elgépelt webcímekkel
Egy kutatás szerint könnyen illetéktelen kezekbe kerülhet a cégek elektronikus levelezése.
Az elgépelt domain nevekkel elkövetett csalások nem számítanak újdonságnak, hiszen szinte minden napra jut egy-egy ezzel kapcsolatos hír. A kibertér bűnözői most egy új módszer segítségével juthatnak hozzá fontos, nem egyszer vállalati titoknak minősülő információkhoz.
A módszer lényege, hogy a bűnözők olyan domain neveket néznek ki maguknak, amelyek mindössze egy „pont”-tal különböznek a megkárosítani kívánt cég domain nevétől (tehát pl. a létező us.company.com mintájára regisztráltatják a uscompany.com webcímet.). Ezek után nincs más hátra, mint beállítani a domain névhez tartozó levelezést és türelmesen várni arra, hogy a cégnek e-mailt küldő felhasználók figyelmetlenségből elgépeljék az e-mail címet és kihagyják a pontot a címzésből. Ha ez megtörténik, a küldött e-mail nem az eredeti címzetthez, hanem a csalókhoz fog megérkezni.
A szakértők az ilyen domain neveket „hasonmás domaineknek” nevezik. A Godai Group biztonsági szakemberei felmérték, hogy a Fortune 500 listán lévő vállalatok (a legnagyobb amerikai cégek) közül 151-nek a levelezése nincs biztonságban. Ez a cégek 30 százaléka.
A hasonmás domainek használatával a csalók kétféle támadó tevékenységet végezhetnek. Az első a fentebb már említett „passzív” módszer, vagyis az eredeti e-mail címhez hasonló levelezési fiók beállítása, annak reményében, hogy arra tévesen címzett e-mail üzenetek érkeznek. Ilyen módszerrel egy cég belső és külső levelezése is illetéktelen kezekbe kerülhet.
A másik módszer használatakor a csalók előre kinézik maguknak a „prédát”, akit aztán megpróbálnak átverni a hasonmás e-mail cím segítségével, magukat a cég munkatársainak vagy üzlettársainak kiadva.
A Godai Group elvégzett egy kísérletet, amelynek során a Fortune 500 listán szereplő cégek aldomainjeihez hasonló domain neveket regisztráltattak, majd elkezdték gyűjtögetni az ezekhez tartozó levelezési fiókokban a tévesen címzett e-maileket. A kísérlet hat hónapos időtartama alatt több mint 120 ezer üzenet gyűlt össze a fiókokban, amely összesen mintegy 20 gigabájtnyi adatot jelent. Az üzenetek nem egyszer olyan információkat is tartalmaztak, amelyek vállalati titoknak minősülnek, de érkeztek számlák, felhasználónevek és az azokhoz tartozó jelszavak, alkalmazottak személyes adatai és hálózati diagramok is. A gyűjtött adatokat a Godai Group a kísérlet végeztével természetesen törölte.
A kutatók – bár a kísérlet célja nem elsősorban ennek vizsgálata volt – észrevették, hogy időnként hálózati kérelmek is érkeztek a beállított e-mail fiókokra. Ez azt jelenti, hogy egy hamis SSH szerver segítségével még a távoli hozzáférési felhasználónevek és jelszavak is könnyűszerrel megszerezhetőek.
A Fortune 500 vállalatok WHOIS információinak átnézése után a kutatók sok esetben találtak olyan domain neveket, melyeket valakik korábban már regisztráltak. A legtöbb esetben a tulajdonos Kínában található, sok ilyen domain pedig máris szerepel a csalásokkal összefüggésbe hozható domain nevek listáján.
A Godai Group azt javasolja a cégeknek, hogy ha tehetik, vásárolják fel az ilyen hasonmás domain neveket, ha pedig ez már nem lehetséges, mivel más birtokában vannak, akkor indítsanak eljárást a domain név birtokosa ellen. A helyesen beállított e-mail szerverekkel pedig elgépelés esetén megakadályozható az e-mail elküldése, így az sosem fog megérkezni a csalókhoz.
