Nieuws

Advocatenkantoren "gehackt" via verlopen domeinnamen

maandag 27 augustus 2018, 11:32 door Redactie, 7 reacties

Onderzoekers hebben aangetoond hoe ze via verlopen domeinnamen toegang tot allerlei gevoelige accounts, documenten en informatie van advocatenkantoren konden krijgen. Vorig jaar werden alleen in de Verenigde Staten 102 grote advocatenkantoren overgenomen of fuseerden.

Geregeld komt het voor dat de partij die een kantoor overneemt de naam van het overgenomen advocatenkantoor laat vallen. Hierdoor kan het voorkomen dat domeinnamen van het overgenomen kantoor niet worden verlengd en uiteindelijk verlopen. Verlopen domeinen kunnen weer door iedereen worden geregistreerd. Onderzoekers wisten op deze manier verschillende voormalige domeinen van Australische advocatenkantoren te bemachtigen.

Nadat een verlopen domeinnaam opnieuw was geregistreerd stelden de onderzoekers een catch-all voor het domein in. Alle e-mails voor het domein komen daardoor aan, wat voorkomt dat de domeinhouder specifieke e-mailadressen moet kennen en aanmaken. Dit maakt het weer mogelijk om wachtwoorden van online diensten te resetten en e-mails met vertrouwelijke informatie te ontvangen die nog steeds naar het domein worden gestuurd.

Het gaat dan bijvoorbeeld om vertrouwelijke documenten van voormalige cliënten en de voormalige praktijk. Ook lukte het de onderzoekers om wachtwoorden van online accounts te resetten. De e-mailadressen van de voormalige advocatenkantoren werden nog steeds voor allerlei online accounts en diensten gebruikt. Aangezien de onderzoekers toegang tot de e-mailadressen hadden konden ze ook de wachtwoorden van de andere gekoppelde accounts resetten, zoals LinkedIn, Twitter en Facebook.

Op de zes verlopen domeinen die de onderzoekers registreerden werden in een periode van drie maanden zo'n 25.000 e-mails ontvangen. Om misbruik te voorkomen krijgen advocatenkantoren, organisaties en bedrijven dan ook het advies om domeinen oneindig te blivjen verlengen en accounts te sluiten die met zakelijke e-mailadressen zijn geregistreerd. Verder moeten klanten worden geïnformeerd om hun adresboek bij te werken zodat ze geen e-mail meer naar het oude domein blijven sturen. Ook wordt het gebruik van tweefactorauthenticatie aangeraden, zo laat onderzoeker Gabor Szathmari weten.

Google waarschuwt Amerikaanse senator voor phishingmails

Datalek raakt bitcoin-investeringsplatform Atlas Quantum

Reacties (7)

27-08-2018, 12:50 door Anoniem

Wow, wat een geweldige onderzoekers. Ik hou al 10 jaar domeinen in leven juist om dit soort security risico's tegen te gaan.

27-08-2018, 13:28 door Anoniem

Hackon! Maakt niet uit, gewoon roepen, betekent lekker niks. En met "quotes" eromheen, nog minder. Gefeliciteerd.

27-08-2018, 13:32 door Anoniem

Laaghangend fruit is ook fruit.

27-08-2018, 16:24 door Bitwiper

Ook om deze reden is het verstandig om slechts 1 hoofddomein (met zoveel subdomeinen als je wilt) te registreren, i.p.v. naast example.com ook werkenbijexample.com, mijnexample.com, exampleaanbiedingen,com etc.

27-08-2018, 16:37 door Anoniem

Door Anoniem: Hackon! Maakt niet uit, gewoon roepen, betekent lekker niks. En met "quotes" eromheen, nog minder. Gefeliciteerd.

Wat is eigenlijk de reden dat jij steeds (als het niet steeds een ander is) "hackon" schrijft in plaats van "hacken"? Als je je zo druk maakt over hoe de term gebruikt wordt, doet een goede spelling er dan niet ook toe?

28-08-2018, 15:51 door [Account Verwijderd] - Bijgewerkt: 28-08-2018, 15:55

En in de domeinen die je niet gebruikt 'block' spf en dmarc txt-records in de DNS toevoegen waarmee je spamfilters informeert dat er geen email verstuurd behoort te worden vanaf het domein (zodat de emails geblokkeerd kunnen worden). En CAA records toevoegen met een ; zodat er ook geen certificaten namens het domein uitgegeven kunnen worden.

Voorbeeld TXT-records (digicycloud.nl):
https://www.digwebinterface.com/?hostnames=digicycloud.nl&type=TXT&ns=resolver&useresolver=8.8.4.4&nameservers=

Voorbeeld CAA-records (digicycloud.nl):
https://www.digwebinterface.com/?hostnames=digicycloud.nl&type=CAA&ns=resolver&useresolver=8.8.4.4&nameservers=
(de laatste 6 records worden automatisch door Cloudflare toegevoegd, maar de ; zorgt ervoor dat het blokkeert bij een certificaat uitgifte)

29-08-2018, 13:12 door Anoniem

Is dit wel "hacken" of strafbaar?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer