image

Dubbelganger-domein steelt 20GB aan Fortune500 e-mail

vrijdag 9 september 2011, 09:38 door Redactie, 4 reacties

Onderzoekers hebben via "dubbelganger-domeinen" 20 gigabyte aan vertrouwelijke e-mail van Fortune500 bedrijven weten te stelen. Dubbelganger-domeinen verschillen van het traditionele typo-squatting, dat typefouten in een domeinnaam gebruikt, doordat de punt tussen de host/subdomein en het domein zelf ontbreekt. In plaats van us.bedrijfsnaam.com werd bijvoorbeeld usbedrijfsnaam.com gebruikt, maar ook debedrijfsnaam.com in plaats van bedrijfsnaam.com bleek te werken. Onderzoekers wisten via deze manier in een periode van zes maanden 120.000 e-mails buit te maken.

Een aanvaller kan aan de dubbelganger-domeinen een mailserver met een catchall koppelen. Alle e-mails voor het domein komen daardoor aan, wat voorkomt dat de aanvaller specifieke e-mailadressen moet kennen en aanmaken. Naast deze "passieve opzet", is er ook een actieve aanval mogelijk via social engineering. In dit geval doet de aanvaller zich voor als iemand waar het slachtoffer al mee communiceert. Aangezien het e-mailadres op de punt na identiek lijkt, is de kans groot dat toekomstige e-mails naar dit adres worden gestuurd.

Aanval
151 van de Fortune500 (30%) bedrijven bleken kwetsbaar voor dubbelganger-domeinen te zijn. "E-mailgebruik is binnen grote ondernemingen zeer hoog, wat de kans op verkeerd gestuurde e-mail en datalekkage dramatisch vergroot", aldus de onderzoekers.

"Aanvallers maken al gebruik van deze kwetsbaarheid en ze kunnen al vertrouwelijke gegevens van je onderneming verzamelen", waarschuwt Garrett Gee, oprichter van de Godai Group, het bedrijf dat het onderzoek uitvoerde.

China
De onderzoekers bekeken ook de WHOIS gegevens van alle Fortune500 bedrijven en ontdekten dat sommige dubbelganger-domeinen al waren geregistreerd en gekoppeld aan locaties in China en domeinen die al met malware en phishing worden geassocieerd. Hoewel het onduidelijk is of deze domeinen ook voor aanvallen worden ingezet, zijn er volgens de onderzoekers wel signalen die op misbruik duiden. "Als we in zes maanden al 20 gigabytes aan gegevens wisten te verzamelen, stel je dan eens voor wat een aanvaller kan doen."

Reacties (4)
09-09-2011, 10:40 door Anoniem
Dit onderzoek toont niet aan dat de bedrijven iets fout doen, maar dat klanten/gebruikers niet zo snugger zijn.
Dat laatste is heel moeilijk te verhelpen....
09-09-2011, 10:42 door musiman
met een current spam rate van 38% hebben ze toch maar weer 12,4 GB valide mail onderschept.
Hoe zou je dit moeten tegengaan als bedrijf? Dan maar stoppen met het gebruik van subdomains? Van alle gebruikte subdomains ook de puntloze versie kopen en in dns registreren?
09-09-2011, 13:37 door Anoniem
Inloggen voor ondernemers bij bv de belastingdienst.nl brengt je naar mijn.belastingdienst.nl
haal de punt weg en je komt bij mijnbelastingdienst.nl. alles lijkt hetzelfde als de originele, behalve als je weer wilt inloggen. dan ga je weer naar mijn.belastingdienst.nl (met punt).
ps Inloggen gaat altijd via https en naar het domein belastingdienst.nl

grt piet
10-09-2011, 11:27 door spatieman
tijd om china IP ranges een /8 naar localhost te geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.