Britse bank laat mailserver naar Spaans hotelbedrijf wijzen
De Britse Halifax-bank, alsmede tal van andere partijen, laten de mailserver van sommige van hun domeinnamen naar het domein van een Spaans hotelbedrijf wijzen, waardoor het voor deze partij mogelijk is om e-mails in naam van de bank te versturen en ontvangen en certificaten aan te vragen.
Halifax gebruikt halifax.co.uk als hoofdwebsite en stuurt klanten die willen internetbankieren naar halifax-online.co.uk. De mailserver die voor dit domein is ingesteld wijst naar mail.btwebworld.com. BT WebWorld was een hostingdienst van de Britse internetprovider BT die door tal van Britse bedrijven en grote organisaties werd gebruikt. Een aantal jaren geleden trok BT de stekker uit de dienst en liet de domeinnaam verlopen.
De domeinnaam werd vervolgens eind 2015 door een bedrijf geregistreerd dat een zoekmachine aanbiedt waarmee hotels in Madrid zijn te vinden en boeken. Doordat de mailserver van Halifax nog steeds naar dit domein wijst kan de huidige eigenaar e-mail uit naam van halifax.co.uk versturen en ontvangen. Zo is het mogelijk om in naam van de bank een tls-certificaat aan te vragen. Dit certificaat zou bijvoorbeeld voor een phishingsite zijn te gebruiken.
Halifax maakt wel gebruik van het Sender Policy Framework (SPF), een mechanisme waarmee een domeinhouder kan aangeven welke servers e-mail voor dat domein mogen versturen. In dit geval zijn de SPF-records verkeerd ingesteld, zo stelt internetbedrijf Netcraft. De SPF-records van halifax-online.co.uk staan zo ingesteld dat mailservers alleen e-mail toestaan van ip-adressen in het MX-record, wat in dit geval btwebworld.com is. E-mail die is toegestaan door een SPF-record heeft een grotere kans om in de inbox van de gebruiker te belanden, aldus James Michael van Netcraft.
Netcraft vond 131 andere domeinen waarvan het mail exchanger record (MX record), waarmee de mailserver voor een domein wordt opgegeven, naar btwebworld.com wijzen. Het gaat onder andere om drie andere domeinen van de Halifax-bank, alsmede dertien domeinen van een investeringsbank, een domein van verzekeringsmaatschappij en een subdomein van de Britse gezondheidszorg.
Dit klopt niet. Het SPF record staat niet ingesteld op IP adressen, maar op het MX record:
In de brontekst staat het wel correct.
Ik denk dat dit eerder een domeinbeleid is van onderbetaalde ITers. Natuurlijk nog steeds met oog op de managers.
Geen enkel probleem, als de IT-ers zorgen dat het beleid consequent wordt doorgevoerd, en ook aangeven wat er niet mogelijk is. Verder kan een manager ook een vakkundige IT-er zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
