Advocatenkantoren "gehackt" via verlopen domeinnamen
Onderzoekers hebben aangetoond hoe ze via verlopen domeinnamen toegang tot allerlei gevoelige accounts, documenten en informatie van advocatenkantoren konden krijgen. Vorig jaar werden alleen in de Verenigde Staten 102 grote advocatenkantoren overgenomen of fuseerden.
Geregeld komt het voor dat de partij die een kantoor overneemt de naam van het overgenomen advocatenkantoor laat vallen. Hierdoor kan het voorkomen dat domeinnamen van het overgenomen kantoor niet worden verlengd en uiteindelijk verlopen. Verlopen domeinen kunnen weer door iedereen worden geregistreerd. Onderzoekers wisten op deze manier verschillende voormalige domeinen van Australische advocatenkantoren te bemachtigen.
Nadat een verlopen domeinnaam opnieuw was geregistreerd stelden de onderzoekers een catch-all voor het domein in. Alle e-mails voor het domein komen daardoor aan, wat voorkomt dat de domeinhouder specifieke e-mailadressen moet kennen en aanmaken. Dit maakt het weer mogelijk om wachtwoorden van online diensten te resetten en e-mails met vertrouwelijke informatie te ontvangen die nog steeds naar het domein worden gestuurd.
Het gaat dan bijvoorbeeld om vertrouwelijke documenten van voormalige cliënten en de voormalige praktijk. Ook lukte het de onderzoekers om wachtwoorden van online accounts te resetten. De e-mailadressen van de voormalige advocatenkantoren werden nog steeds voor allerlei online accounts en diensten gebruikt. Aangezien de onderzoekers toegang tot de e-mailadressen hadden konden ze ook de wachtwoorden van de andere gekoppelde accounts resetten, zoals LinkedIn, Twitter en Facebook.
Op de zes verlopen domeinen die de onderzoekers registreerden werden in een periode van drie maanden zo'n 25.000 e-mails ontvangen. Om misbruik te voorkomen krijgen advocatenkantoren, organisaties en bedrijven dan ook het advies om domeinen oneindig te blivjen verlengen en accounts te sluiten die met zakelijke e-mailadressen zijn geregistreerd. Verder moeten klanten worden geïnformeerd om hun adresboek bij te werken zodat ze geen e-mail meer naar het oude domein blijven sturen. Ook wordt het gebruik van tweefactorauthenticatie aangeraden, zo laat onderzoeker Gabor Szathmari weten.
Voorbeeld TXT-records (digicycloud.nl):
https://www.digwebinterface.com/?hostnames=digicycloud.nl&type=TXT&ns=resolver&useresolver=8.8.4.4&nameservers=
Voorbeeld CAA-records (digicycloud.nl):
https://www.digwebinterface.com/?hostnames=digicycloud.nl&type=CAA&ns=resolver&useresolver=8.8.4.4&nameservers=
(de laatste 6 records worden automatisch door Cloudflare toegevoegd, maar de ; zorgt ervoor dat het blokkeert bij een certificaat uitgifte)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
