Les noms de domaine abandonnés sont des fruits peu coûteux pour les attaquants, qui peuvent les utiliser pour accéder à des e-mails sensibles ou à des données clients.
L’email détient les clés du royaume. Tous les réinitialisations de votre mot de passe passent par e-mail, et l’abandon d’un ancien nom de domaine permet aux attaquants de réenregistrer l’ancien domaine et d’obtenir vos informations.
Le problème est particulièrement grave pour les cabinets d’avocats où les partenariats se forment, se dissolvent et fusionnent souvent, souligne le chercheur en sécurité Gabor Szathmari. Une fusion ou une acquisition implique généralement soit une nouvelle image de marque pour la nouvelle entreprise, avec un nouveau nom de domaine correspondant, soit une entreprise acquise abandonnant son ancienne image de marque et son nom de domaine. Laisser ces anciens domaines expirer est dangereux.
Laisser ces anciens domaines expirer est dangereux.
« Aux États-Unis, 2017 a été une année record pour les fusions de cabinets d’avocats de premier plan avec 102 fusions ou acquisitions au cours de l’année », écrit Szathmari, « au niveau de la petite pratique juridique, le nombre devrait se chiffrer par milliers. »
Pour tester à quel point le problème est grave, Szathmari a réenregistré les anciens noms de domaine de plusieurs cabinets d’avocats qui avaient fusionné, mis en place un serveur de messagerie et sans pirater quoi que ce soit, il dit avoir reçu un flux constant d’informations confidentielles, y compris la correspondance bancaire, les factures d’autres cabinets d’avocats, les documents juridiques sensibles des clients et les mises à jour de LinkedIn. (Szathmari s’efforce de renvoyer les noms de domaine concernés à leurs propriétaires d’origine.)
Utilisation de noms de domaine abandonnés pour commettre une fraude.
La même technique, dit-il, pourrait facilement être utilisée pour commettre une fraude. « En rétablissant une boutique en ligne fonctionnant auparavant sur un nom de domaine abandonné », écrit-il dans un e-mail à CSO, « les mauvais acteurs pourraient télécharger les pages Web originales à partir d’archives.org, puis prendre de nouvelles commandes et de nouveaux paiements en se présentant comme un système pleinement fonctionnel. boutique en ligne. «
« Si l’ancienne boutique en ligne avait un système CRM ou que MailChimp menait des campagnes de marketing », ajoute-t-il, « les criminels pourraient accéder à la liste des anciens clients en reprenant ces comptes avec une réinitialisation de mot de passe par e-mail. Ils pourraient leur offrir une remise spéciale. code pour les encourager à passer des commandes qui ne seraient jamais livrées. Le ciel est la limite. «
Les noms de domaine expirants sont publiés quotidiennement par les registres de noms de domaine sous la forme de listes déroulantes de noms de domaine. Il ne faut pas un cerveau criminel pour télécharger ces listes quotidiennement et les comparer aux nouvelles des fusions et acquisitions dans les pubs commerciaux pertinents, ou simplement réenregistrer n’importe quel nom de domaine qui attire leur fantaisie.
Szathmari a également pu utiliser les noms de domaine réenregistrés pour accéder à des mots de passe tiers de violation en utilisant HaveIBeenPwned.com et SpyCloud.com. Les deux services nécessitent une vérification du nom de domaine, une défense facilement contournée une fois que vous possédez le domaine en question. Parce que la réutilisation des mots de passe reste répandue, Szathmari écrit qu’il aurait facilement pu utiliser ces mots de passe tiers pour compromettre les employés concernés, y compris leur vie professionnelle et personnelle.
Combien de temps devez-vous conserver ces anciens domaines?
Mieux vaut prévenir que guérir. Les noms de domaine ne sont pas chers et garder les anciens domaines en votre possession est la police d’assurance cybersécurité la moins chère que vous ayez jamais achetée.
Szathmari recommande de mettre en place un service de messagerie électronique qui redirige tous les e-mails entrants vers un administrateur de confiance, une personne qui peut examiner la correspondance adressée au personnel ancien et actuel, et des e-mails de réinitialisation de mot de passe pour les services en ligne.
N’abandonnez pas non plus ce sous-domaine
Le détournement de sous-domaine se produit lorsqu’un attaquant prend le contrôle d’un sous-domaine, tel que subdomain.votredomaine.com. Cela se produit généralement lorsque le propriétaire du domaine arrête un service exécuté sur le sous-domaine et oublie de mettre à jour son enregistrement de sous-domaine DNS qui continue de pointer vers un service inexistant.
Plus tôt cette année, Microsoft a commis cette erreur de recrue, ne réussissant pas à sécuriser deux sous-domaines que les spammeurs utilisaient pour promouvoir les casinos de poker en ligne. Si Microsoft, un éditeur de logiciels mature axé sur la sécurité, peut faire cette erreur, il y a de fortes chances que votre organisation le fasse aussi.
Une occurrence de prise de contrôle de sous-domaine courante implique qu’une organisation configure un sous-domaine pour pointer vers un service tiers, tel que GitHub Pages, Heroku ou Shopify. Si votre organisation met fin ultérieurement à ce service et supprime son compte GitHub Pages, par exemple, un attaquant peut réenregistrer ce compte GitHub Pages (car il est désormais disponible pour tous les utilisateurs) et publier ce qu’il souhaite sur subdomain.yourdomain.com.
Comment empêcher une prise de contrôle de sous-domaine
Aucun des outils de sécurité coûteux et sophistiqués disponibles sur le marché ne peut empêcher une prise de contrôle de sous-domaine, uniquement la collaboration organisationnelle. Qui gère le DNS de votre entreprise? Qui approuve les utilisations du sous-domaine pour la billetterie d’assistance ou le commerce électronique ou pour remplir le blanc? Où est le classeur, numérique ou papier, qui documente et applique la vérification des sous-domaines lorsqu’ils ne sont plus utilisés?
La sécurité est un processus, pas un produit, et ce truisme est mis en évidence lors de la résolution du problème des prises de contrôle de sous-domaine. Cela peut être particulièrement un problème dans les grandes organisations où l’informatique et la sécurité ont leurs propres services distincts. La gestion des entrées DNS est généralement une fonction informatique – faites en sorte que mon truc en ligne soit mis en ligne afin que je puisse faire mon travail. Une fois qu’il est en ligne, qui garde la trace qu’il est toujours utilisé? À qui appartient cette fonction?
Compte tenu de la banalité d’une attaque par prise de contrôle de sous-domaine, de l’ampleur des dommages de réputation qu’elle peut créer pour votre marque, et peu d’efforts sont nécessaires pour y remédier – modifiez simplement vos paramètres DNS – il vaut la peine d’examiner comment intégrer la vérification régulière du sous-domaine dans votre sécurité workflow.
Commentaires récents