На csoonline.com був опублікований тривожний пост про те, як легко отримати контроль над доменним ім'ям і доступ до аккаунту GoDaddy, власником якого ви не є. Автор розповіді, Стів Рага, повідав історію про те, як він попросив генерального директора Night Lion Security, Вінні Троя, щоб той спробувати отримати контроль над доменом автора і його обліковим записом GoDaddy.
Основні моменти з публікації:
У вівторок мій GoDaddy аккаунт був зламаний. Я знав, що так буде, але все ж, з огляду на кілька рівнів захисту, які використовуються одним з найбільших в світі реєстратором, я не думав, що це виявиться так просто.
Я був не правий. Фахівцю з безпеки вистачило кількох днів, щоб отримати контроль над моїм аккаунтом і все що йому для цього треба було - це дзвінок в службу підтримки і намальоване в Фотошопі посвідчення.
Іноді клієнти забувають свій логін або пароль; Можливо, вони забувають, яку електронну пошту вони використовували при регістріраціі домену. У будь-якому випадку, служба підтримки GoDaddy постарається допомогти таким користувачам.
Відповідно до політики підтримки GoDaddy, скидання доступу до облікового запису - це досить проста процедура. Якщо ви забули ваше ім'я користувача (логін) або номер аккаунта, ви просто тиснете відповідне посилання на сторінці входу або на сторінці допомоги. Тим не менш, ви також можете зателефонувати в службу підтримки і завершити процес по телефону.
Залежно від обставин, телефонний дзвінок вирішує більшість проблем, пов'язаних з членством, за умови, що ви можете назвати свій домен, який використовували адресу електронної пошти, номер аккаунта (або ім'я користувача), який використовували при реєстрації поштову адресу або останні чотири цифри кредитної картки, прив'язаною до аккаунту.
Почати захват аккаунта було досить просто. - повідомляє Трой, який подзвонив в GoDaddy і пояснив, що втратив доступ до свого домену. - Ми розглянули і перевірили WHOIS інформацію, що в дійсності складався з читання мною WHOIS інформації та переказування її представнику.
Вона запитала, чи є у мене доступ до адреси електронної пошти, використаному при реєстрації, чого я, очевидно, не мав. Я пояснив, що в даний час існує складна корпоративна політика, з якою я не маю бажання зв'язуватися. Довга історія, коротше кажучи, це був мій домен, і я хотів отримати доступ до нього.
Скидання імені користувача та пароля здається розумним, якщо клієнт не наполегливий і може виправдати відсутність інформації.
Це те, що зробив Трой - він обгрунтував відсутність інформації, вдало граючи роль засмученого керівника.
Вона попросила мене перевірити PIN-код, якого у мене не було.
Потім вона попросила мене надати останні чотири цифри номера кредитної картки, що використовується для покупки домену, які я також не знав.
Я пояснив їй, що попросив свого помічника зареєструвати для мене домен - сказав Трой, продовжуючи свою розповідь.
Трой повідомив представнику служби підтримки GoDaddy, що його «помічник» сказав, що він використовував карту, номер якої закінчується на 4 випадкових цифри.
Цифри, які він повідомив, були взяті «зі стелі». Природно, ці цифри були невірними і цей крок підтвердження особи провалився.
На додаток до цього, представнику служби підтримки було сказано, що «помічник» не пам'ятає встановлений PIN-код.
Я був направлений на веб-сайт, де я міг заповнити форму і запросити доступ - сказав Трой.
Якщо ніякі відомості про акаунт не будуть надані під час запиту скидання, то GoDaddy дозволить клієнтам використовувати форму зміни облікового запису (або електронної пошти).
Ця форма вимагає надати копію виданого державою посвідчення особи, наприклад, паспорт, військовий квиток або посвідчення водія, для того, щоб довести, що ви той, за кого себе видаєте. Якщо спірне домен не є персональним, то буде потрібно також інформація про підприємство. Весь процес відбувається в режимі онлайн.
Для того щоб атака спрацювала, Трой створив підроблений аккаунт Gmail, а також профіль Google+, щоб створити свою версію Стіва рага, справжнього власника домену. Обліковий запис електронної пошти буде використовуватися для нового пароля. Аккаунт у соціальній мережі служить просто для того, щоб створити лже-Стіву присутність в мережі.
Я знав кількох людей в штаті Індіана, і вони прислали мені якісні зображення їх ліцензії. Зрештою, виявилося простіше змінити чиюсь існуючу ліцензію, ніж робити нову з нуля. Я провів близько чотирьох годин, працюючи над деталями ліцензії і реалістичним затінюванням тексту справа.
Форма була відправлена в П'ятницю, 13 березня.
У вівторок вдень, Трой отримав лист з проханням про додаткову інформацію. Більшість доменів в акаунті були зареєстровані на юридичну особу, що вимагає додаткової інформації.
Я послав електронного листа, повідомивши про те, що немає ніякого фактичного бізнесу, який вони могли б перевірити і що я просто вказав там щось, тому що я думав, що повинен заповнити ці поля. Відразу ж після відправлення листа мені подзвонили. Жінка, з якою я говорив, була супер-ввічлива. Вона подивилася на адресу електронної пошти, залишаючись на телефоні, і сказала, що люди часто використовують неіснуючі фірмові найменування. Їм просто потрібна письмова копію для звітності. Залишаючись на дроті, вона підтвердила зміну адреси електронної пошти. Інструкції по відновленню пароля до облікового запису вже були на моїй електронній пошті, коли ми закінчили розмову. - сказав Трой.
Ніхто не перевіряв надані документи і надане посвідчення містило фотографію, абсолютно несхожу на власника. Від соціальної інженерії до підробленим профілем в соціальній мережі, підробленим посвідченням і адресою електронної пошти - це був класичний приклад цілеспрямованої атаки від початку і до кінця.
Отримання доступу до аккаунту, як описаний, дозволяє зловмисникам використовувати захоплений домен для створення сертифікатів підпису коду або заволодіти чиїмось брендом.
З цього моменту, зловмисники можуть змінити DNS і направити відвідувачів на сервер, під їх контролем.
Насправді, це улюблена тактика таких кібер-груп, як Lizard Squad і Syrian Electronic Army, які, з тих же причин, атакують облікові записи хостингу.
Якщо нападники хочуть залишитися в тіні, вони можуть отримати доступ, вставити свій код, створити лазівку для доступу до облікового запису адміністратора (бекдор, backdoor) і повернути доступ первинного власника перш ніж він навіть запідозрить про проблему. Власник отримає підтвердження на електронну пошту, подивиться, що його сайт працює і доступний в мережі і вважатиме це фішинговою атакою і просто видалить лист. - сказав Трой.
GoDaddy не єдиний великий реєстратор, схильний до атак такого роду. Network Solutions також використовує при собі посвідчення особи для перевірки, але на відміну від GoDaddy, посвідчення і необхідні документи повинні бути відправлені по факсу, а не просто завантажені. А ось Hover.com не приймає при собі посвідчення особи з фотографією для підтвердження, тому що хтось може «поправити його в Photoshop».
Використання GoDaddy DomainControl і послуг конфіденційності, які пропонуються за додаткову плату, тільки сповільнило б рішучого зловмисника.
Двухфакторная аутентифікація також не вирішує проблему, адже якщо хтось заволодіє доступом до аккаунту і активує такий захист, то у клієнта залишиться мало варіантів для відновлення доступу до свого домену.
джерело: csoonline.com