Многослойная защита GoDaddy обходится с помощью телефонного звонка и нескольких часов в Photoshop
На csoonline.com был опубликован тревожный пост о том, как легко получить контроль над доменным именем и доступ к аккаунту GoDaddy, владельцем которого вы не являетесь. Автор рассказа, Стив Раган, поведал историю о том, как он попросил генерального директора Night Lion Security, Винни Троя, чтобы тот попытаться получить контроль над доменом автора и его учетной записью GoDaddy.
Аккаунты GoDaddy уязвимы к социальной инженерии и Photoshop
Основные моменты из публикации:
Во вторник мой GoDaddy аккаунт был взломан. Я знал, что так будет, но все же, учитывая несколько уровней защиты, используемых одним из крупнейших в мире регистратором, я не думал, что это окажется так просто.
Я был не прав. Специалисту по безопасности хватило нескольких дней, чтобы получить контроль над моим аккаунтом и все что ему для этого потребовалось — это звонок в службу поддержки и нарисованное в Фотошопе удостоверение.
Иногда клиенты забывают свой логин или пароль; Возможно, они забывают, какую электронную почту они использовали при регистрирации домена. В любом случае, служба поддержки GoDaddy постарается помочь таким пользователям.
В соответствии с политикой поддержки GoDaddy, сброс доступа в аккаунт — это достаточно простая процедура. Если вы забыли ваше имя пользователя (логин) или номер аккаунта, вы просто жмете соответствующую ссылку на странице входа или на странице помощи. Тем не менее, вы также можете позвонить в службу поддержки и завершить процесс по телефону.
В зависимости от обстоятельств, телефонный звонок решает большинство проблем, связанных с аккаунтом, при условии, что вы можете назвать свой домен, использовавшийся адрес электронной почты, номер аккаунта (или имя пользователя), использовавшийся при регистрации почтовый адрес или последние четыре цифры кредитной карты, привязанной к аккаунту.
Начать захват аккаунта было достаточно просто. — сообщает Трой, который позвонил в GoDaddy и объяснил, что утратил доступ к своему домену. — Мы рассмотрели и проверили WHOIS информацию, что в действительности состояло из чтения мной WHOIS информации и пересказывания ее представителю.
Она спросила, есть ли у меня доступ к адресу электронной почты, использованному при регистрации, чего я, очевидно, не имел. Я объяснил, что в настоящее время существует сложная корпоративная политика, с которой я не имею желания связываться. Длинная история, короче говоря, это был мой домен, и я хотел получить доступ к нему.
Сброс имени пользователя и пароля кажется разумным, если клиент не настойчив и может оправдать отсутствие информации.
Это то, что сделал Трой — он обосновал отсутствие информации, удачно играя роль расстроенного руководителя.
Она попросила меня проверить PIN-код, которого у меня не было.
Затем она попросила меня предоставить последние четыре цифры номера кредитной карты, используемой для покупки домена, которые я также не знал.
Я объяснил ей, что попросил своего помощника зарегистрировать для меня домен — сказал Трой, продолжая свой рассказ.
Трой сообщил представителю службы поддержки GoDaddy, что его «помощник» сказал, что он использовал карту, номер которой заканчивается на 4 случайных цифры.
Цифры, которые он сообщил, были взяты «с потолка». Естественно, эти цифры были неверными и этот шаг подтверждения личности провалился.
В дополнение к этому, представителю службы поддержки было сказано, что «помощник» не помнит установленный PIN-код.
Я был направлен на веб-сайт, где я мог заполнить форму и запросить доступ — сказал Трой.
Если никакие сведения об аккаунте не будут предоставлены во время запроса сброса, то GoDaddy позволит клиентам использовать форму изменения учетной записи (или электронной почты).
Эта форма требует предоставить копию выданного государством удостоверения личности, например, паспорт, военный билет или водительское удостоверение, для того, чтобы доказать, что вы тот, за кого себя выдаете. Если спорный домен не является персональным, то потребуется также информация о предприятии. Весь процесс происходит в режиме онлайн.
Для того чтобы атака сработала, Трой создал поддельный аккаунт Gmail, а также профиль Google+, чтобы создать свою версию Стива Рагана, настоящего владельца домена. Учетная запись электронной почты будет использоваться для нового пароля. Аккаунт в социальной сети служит попросту для того, чтобы создать лже-Стиву присутствие в сети.
Я знал нескольких человек в штате Индиана, и они прислали мне качественные изображения их лицензии. В конце концов, оказалось проще изменить чью-то существующую лицензию, чем делать новую с нуля. Я провел около четырех часов, работая над деталями лицензии и реалистичным затенением текста справа.
Форма была отправлена ??в Пятницу, 13 Марта.
Во вторник днем, Трой получил письмо с просьбой о дополнительной информации. Большинство доменов в аккаунте были зарегистрированы на юридическое лицо, что требует дополнительной информации.
Я послал электронное письмо, сообщив о том, что нет никакого фактического бизнеса, который они могли бы проверить и что я просто указал там что-то, потому что я думал, что должен заполнить эти поля. Сразу же после отправки письма мне позвонили. Женщина, с которой я говорил, была супер-вежлива. Она посмотрела на адрес электронной почты, оставаясь на телефоне, и сказала, что люди часто используют несуществующие фирменные наименования. Им просто нужна письменная копию для отчетности. Оставаясь на проводе, она подтвердила смену адреса электронной почты. Инструкции по восстановлению пароля к учетной записи уже были на моей электронной почте, когда мы закончили разговор. — сказал Трой.
Никто не проверял предоставленные документы и предоставленное удостоверение содержало фотографию, совершенно непохожую на владельца. От социальной инженерии к подложному профилю в социальной сети, поддельному удостоверению и адресу электронной почты — это был классический пример целенаправленной атаки от начала и до конца.
Получение доступа к аккаунту, подобно описанному, позволяет злоумышленникам использовать захваченный домен для создания сертификатов подписи кода или завладеть чьим-то брендом.
С этого момента, злоумышленники могут сменить DNS и направить посетителей на сервер, под их контролем.
На самом деле, это излюбленная тактика таких кибер-групп, как Lizard Squad и Syrian Electronic Army, которые, по тем же причинам, атакуют учетные записи хостинга.
Если нападавшие хотят остаться в тени, они могут получить доступ, вставить свой код, создать лазейку для доступа в аккаунт администратора (бэкдор, backdoor) и вернуть доступ первоначальному владельцу прежде чем он даже заподозрит о проблеме. Владелец получит подтверждение на электронную почту, посмотрит, что его сайт работает и доступен в сети и сочтет это фишинговой атакой и попросту удалит письмо. — сказал Трой.
GoDaddy не единственный крупный регистратор, подверженный атакам такого рода. Network Solutions также использует удостоверение личности для проверки, но в отличие от GoDaddy, удостоверение и необходимые документы должны быть отправлены по факсу, а не просто загружены. А вот Hover.com не принимает удостоверение личности с фотографией для подтверждение, потому что кто-то может «поправить его в Photoshop».
Использование GoDaddy DomainControl и услуг конфиденциальности, которые предлагаются за дополнительную плату, только замедлило бы решительного злоумышленника.
Двухфакторная аутентификация также не решает проблему, ведь если кто-то завладеет доступом к аккаунту и активирует такую защиту, то у клиента останется мало вариантов для восстановления доступа к своему домену.
Источник: csoonline.com