image

Advocatenkantoren "gehackt" via verlopen domeinnamen

maandag 27 augustus 2018, 11:32 door Redactie, 7 reacties

Onderzoekers hebben aangetoond hoe ze via verlopen domeinnamen toegang tot allerlei gevoelige accounts, documenten en informatie van advocatenkantoren konden krijgen. Vorig jaar werden alleen in de Verenigde Staten 102 grote advocatenkantoren overgenomen of fuseerden.

Geregeld komt het voor dat de partij die een kantoor overneemt de naam van het overgenomen advocatenkantoor laat vallen. Hierdoor kan het voorkomen dat domeinnamen van het overgenomen kantoor niet worden verlengd en uiteindelijk verlopen. Verlopen domeinen kunnen weer door iedereen worden geregistreerd. Onderzoekers wisten op deze manier verschillende voormalige domeinen van Australische advocatenkantoren te bemachtigen.

Nadat een verlopen domeinnaam opnieuw was geregistreerd stelden de onderzoekers een catch-all voor het domein in. Alle e-mails voor het domein komen daardoor aan, wat voorkomt dat de domeinhouder specifieke e-mailadressen moet kennen en aanmaken. Dit maakt het weer mogelijk om wachtwoorden van online diensten te resetten en e-mails met vertrouwelijke informatie te ontvangen die nog steeds naar het domein worden gestuurd.

Het gaat dan bijvoorbeeld om vertrouwelijke documenten van voormalige cliënten en de voormalige praktijk. Ook lukte het de onderzoekers om wachtwoorden van online accounts te resetten. De e-mailadressen van de voormalige advocatenkantoren werden nog steeds voor allerlei online accounts en diensten gebruikt. Aangezien de onderzoekers toegang tot de e-mailadressen hadden konden ze ook de wachtwoorden van de andere gekoppelde accounts resetten, zoals LinkedIn, Twitter en Facebook.

Op de zes verlopen domeinen die de onderzoekers registreerden werden in een periode van drie maanden zo'n 25.000 e-mails ontvangen. Om misbruik te voorkomen krijgen advocatenkantoren, organisaties en bedrijven dan ook het advies om domeinen oneindig te blivjen verlengen en accounts te sluiten die met zakelijke e-mailadressen zijn geregistreerd. Verder moeten klanten worden geïnformeerd om hun adresboek bij te werken zodat ze geen e-mail meer naar het oude domein blijven sturen. Ook wordt het gebruik van tweefactorauthenticatie aangeraden, zo laat onderzoeker Gabor Szathmari weten.

Reacties (7)
27-08-2018, 12:50 door Anoniem
Wow, wat een geweldige onderzoekers. Ik hou al 10 jaar domeinen in leven juist om dit soort security risico's tegen te gaan.
27-08-2018, 13:28 door Anoniem
Hackon! Maakt niet uit, gewoon roepen, betekent lekker niks. En met "quotes" eromheen, nog minder. Gefeliciteerd.
27-08-2018, 13:32 door Anoniem
Laaghangend fruit is ook fruit.
27-08-2018, 16:24 door Bitwiper
Ook om deze reden is het verstandig om slechts 1 hoofddomein (met zoveel subdomeinen als je wilt) te registreren, i.p.v. naast example.com ook werkenbijexample.com, mijnexample.com, exampleaanbiedingen,com etc.
27-08-2018, 16:37 door Anoniem
Door Anoniem: Hackon! Maakt niet uit, gewoon roepen, betekent lekker niks. En met "quotes" eromheen, nog minder. Gefeliciteerd.
Wat is eigenlijk de reden dat jij steeds (als het niet steeds een ander is) "hackon" schrijft in plaats van "hacken"? Als je je zo druk maakt over hoe de term gebruikt wordt, doet een goede spelling er dan niet ook toe?
28-08-2018, 15:51 door [Account Verwijderd] - Bijgewerkt: 28-08-2018, 15:55
En in de domeinen die je niet gebruikt 'block' spf en dmarc txt-records in de DNS toevoegen waarmee je spamfilters informeert dat er geen email verstuurd behoort te worden vanaf het domein (zodat de emails geblokkeerd kunnen worden). En CAA records toevoegen met een ; zodat er ook geen certificaten namens het domein uitgegeven kunnen worden.

Voorbeeld TXT-records (digicycloud.nl):
https://www.digwebinterface.com/?hostnames=digicycloud.nl&type=TXT&ns=resolver&useresolver=8.8.4.4&nameservers=

Voorbeeld CAA-records (digicycloud.nl):
https://www.digwebinterface.com/?hostnames=digicycloud.nl&type=CAA&ns=resolver&useresolver=8.8.4.4&nameservers=
(de laatste 6 records worden automatisch door Cloudflare toegevoegd, maar de ; zorgt ervoor dat het blokkeert bij een certificaat uitgifte)
29-08-2018, 13:12 door Anoniem
Is dit wel "hacken" of strafbaar?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.