如何从废弃的域名中访问敏感信息？

翻译：360代码卫士团队

一名网络安全专家警告称，欺诈人员能收集某家公司的敏感信息如公司活动和员工、客户信息，即使在公司关闭的情况下也不例外。

Gabor Szathmari 探索了和域名废弃相关的风险，发现能够利用这些域名检索带有敏感信息、账户密码的邮件，从而接管流行在线服务的账户或者访问某类行业门户。

当域名过期后，并不能马上被购买，而是会转为保留状态，允许前任所有人重新购回。虽然过渡期是30天，但可能会因注册商的不同而不同。

多个网络服务都提供了被注册商丢弃的域名列表，并可在无需额外成本的情况下访问，因此黑客可针对某类企业发动攻击。

Szathmari 和其他研究员购买了6个废弃的域名，其中一些之前有澳大利亚执法部门所有。拥有这些域名意味着对邮件流的控制，包括之前公司的信息。设立包罗万象的邮件服务可导致欺诈者在普通收件箱的域名的任意地址收集邮件。

一旦邮件开始涌入收件箱，研究人员就能过滤出被欺诈者视为完美的详情。最终共产生2.5万份包含报告、余额单、通知、简报以及垃圾邮件的信息。

为了筛选出无关内容，研究团队开发出了找到垃圾邮件的智能工具，不过后来依靠来自两家提供商 Spamhaus 和 Barracuda 名誉组织列表基于 DNS 的黑洞列表 (DNSBL) 服务。

多数在线服务首次重设密码时要求提供工作邮件地址，且该邮件地址要求能够更改之前企业和员工的访问凭证。

很多公司使用Office 365 和 G Suite 两大平台处理邮件通讯。除非用户从云中删除了信息，否则任何人均可登录访问。

研究人员还试图访问和所控制域名相关的 G Suite 账户，并成功遍历了重置密码的所有步骤。Szathmari 指出，他们停止在最后一个步骤，并未在 G Suite 上完成密码重置流程。

由于员工通常将工作邮件用于个人目的，因此他们的账户易遭劫持。Szathmari 发现某些人使用工作邮件地址注册推特、Facebook 和 LinkedIn 账户。

SpyCloud 和 Have IBeen Pwned 等网站帮助域名所有人检查数据泄露中是否含有自己的账户。研究人员通过这些服务检索到了之前的邮件和密码。在 LinkeIn 上，用户能要求重置和账户绑定的任何地址。如果被废弃的地址仍然在列表中，那么更改登录凭证就相对容易。研究人员按照同样的方法在推特和 Facebook 平台上得到密码重置邮件，可用于剔出账户所有人。

“忘记密码”功能还适用于 Web 专业门户网站。例如，英联邦法院门户网站、LEAP 实践管理平台和新南威尔士在线注册管理机构门户网站都适用。

抵御这种滥用情况的最简单办法是确保域名在无限期内有效，即使公司已不再使用该域名。

显然，退订包含敏感详情的通知服务也是一种防御方法。

关闭使用工作邮件的账户或者至少取消关联也是一种解决方案，尽管并非所有员工都注意到了该请求。

双因素验证是应对账户劫持的良好做法，因为它要求将密码和秘密代码发动到所有人的设备上。在很多情况下，欺诈者无法同时获取这两种凭证。

原文链接

https://www.bleepingcomputer.com/news/security/fraudsters-can-access-sensitive-information-from-abandoned-domains/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。