"Тайпсквоттеры" собрали 20 Гб чужой переписки

Два исследователя из Godai Group решили поставить эксперимент и проверить, сколько приватной информации можно собрать, если регистрировать домены с опечатками и поднимать на них почтовые серверы. Оказалось, что этот приём на редкость эффективен. На 30 "фальшивых" доменах за шесть месяцев скопилось 20 Гб писем (около 120 000), отправленных компаниям из списка Fortune 500. Примерно 1% из этих писем содержат конфиденциальную информацию - логины и пароли сотрудников, информацию по сделкам, внутренним расследованиям и т.д.

120 тысяч писем - неплохой результат, учитывая пассивность метода сбора и абсолютную секретность. За полгода никто ничего не заметил.

Исследователи выяснили, что возможность зарегистрировать домен-двойник без точки существует для 30% крупных компаний, учитывая их поддомены, по которым адресуется почта. У некоторых корпораций есть по 60 поддоменов, то есть они особенно уязвимы. Если в компании идёт большой поток писем по внутренней почте, то некоторые наверняка попадут по неправильному адресу. Например, на @seibm.com вместо @se.ibm.com (шведское подразделение IBM) или @ausintel.com вместо @aus.intel.com.

За шесть месяцев на 30 доменах было получено около 120 000 писем. Поиск по характерным ключевым словам дал такой результат:

  • Investigation - 350
  • Secret - 425
  • Unclassified - 106
  • Credit Card - 402
  • Private - 394
  • UserID - 225
  • Password - 405
  • Login - 495
  • Confidentiality - 374
  • VPN - 75
  • Router - 163
  • Contract - 417
  • Affidavits - 34
  • Invoice - 323
  • Resume - 275
 

Вполне возможно, что сбор чужой корпоративной почты таким образом уже осуществляется. Исследователи обнаружили, что ряд тайпсквоттерских доменов для некоторых крупнейших компаний уже зарегистрированы китайцами или на подозрительные email'ы. Это вполне может быть частью системы промышленного шпионажа. В списке указан сайт компании, которая подвергается атаке, домен-двойник и почтовый адрес, указанный при регистрации домена.

  • adp.com - cnadp.com - adp@vip.163.com
  • cisco.com - kscisco.com - domainadm@hichina.com
  • dell.com - chndell.com - gdguy@163.com
  • dupont.com - sydupont.com - syxxhw@163.com
  • gm.com - ucgm.com - zydoor@126.com
  • hp.com - chehp.com - 59031894@qq.com
  • ibm.com - caibm.com - 604732486@qq.com
  • ibm.com - seibm.com - fjjclaw@263.net
  • intel.com - ausintel.com - nheras@gmail.com
  • itt.com - cnitt.com - dulingqun@sina.com
  • kohls.com - emailkohls.com - bridgeportltd@gmail.com
  • manpower.com - demanpower.com - tzstudent@163.com
  • mcd.com - cnmcd.com - 617388068@qq.com
  • yahoo.com - nayahoo.com - xxxxxx_vip@yahoo.com.cn
  • unisys.com - caunisys.com - domainadm@hichina.com

Результаты эксперимента.

Анатолий АЛИЗАР

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Alandr

Имхо, тут есть работа для админов - настроить корпоративные сервера так, чтобы не пропускать почту на домены-"синонимы" (хотя бы своей родной организации).