Een Chinese domeinnaam die voor 1200 euro wordt aangeboden, zou aanvallers informatie over miljoenen Chinezen geven en helpen bij het uitvoeren van phishingaanvallen en andere soorten fraude. De domeinnaam in kwestie is wpad.cn, die te koop is. Duane Wessels is de eigenaar van vijf andere wpad domeinnamen, die dagelijks 5 miljoen hits krijgen. De meeste bezoeken zijn afkomstig van Windows computers die naar configuratiegegevens voor het netwerk zoeken. Microsoft verhielp het probleem voor het eerst in 1999. Het zijn dan ook waarschijnlijk zeer oude Windows computers, "obscure" programma's of verkeerd geconfigureerde servers die het verkeer veroorzaken.
Als een aanvaller de wpad.cn domeinnaam in handen krijgt, zou hij die als proxy webserver voor de slachtoffers kunnen instellen, en hen zo naar phishingsites kunnen doorsturen of ongewenste advertenties op hun computers tonen. Sommige computers zoeken naar een Web Proxy Auto-Discovery (WPAD) server op het netwerk, die de PC vervolgens een configuratiebestand genaamd wpad.dat stuurt. De WPAD servernaam begint met wpad, maar door een techniek genaamd DNS devolutie, zoeken Windows machines overal naar wpad domeinen, wat ze soms buiten het netwerk leidt. Chinese computers zullen daarom waarschijnlijk bij wpad.cn aankloppen.
Wpad.nl
Wpad.cn moet 1200 euro opbrengen, wat voor criminelen een goede deal is, zegt Tomasz Koperski. Hij bezit meer dan 40 WPAD-gerelateerde domeinnamen, waaronder wpad.com.tw, die maandelijks meer dan 5 miljoen hits krijgt. Wessels vermoedt dat de eigenaren van wpad.cn niet op de hoogte van het WPAD probleem zijn. "Als ze wisten wat ze hadden, zouden ze waarschijnlijk meer vragen."
De Nederlandse WPAD domeinnaam, wpad.nl, is in 2006 door XS4ALL geregistreerd. "We waren destijds op de hoogte van het probleem en hebben het uit voorzorg geregistreerd", zegt XS4ALL woordvoerster Margreth Verhulst tegenover Security.nl. De internetprovider heeft geen website aan de domeinnaam gehangen en houdt ook niet het aantal hits bij. "We hoeven dat ook niet te weten, mede op basis van privacy. Door het registreren is het probleem in ieder geval opgelost."
Deze posting is gelocked. Reageren is niet meer mogelijk.