Стив Рэган (Steve Ragan), автор онлайн-издания об информационной безопасности CSO, исследовал возможности компрометации собственного домена, который управлялся одним из крупнейших доменных регистраторов — компанией GoDaddy. GoDaddy работает более чем с 13 млн клиентов, и в его ведении находятся 59 млн доменных имен. В течение всего лишь пары дней постороннее лицо получило полный доступ к аккаунту журналиста в ходе эксперимента, что позволило выяснить, насколько легко на самом деле угнать домен.

Результаты оказались шокирующими: сыгравшему роль «хакера» ИБ-эксперту не понадобились особые навыки, так как для проведения успешной атаки хватило звонка в службу поддержки и пары часов работы в Photoshop.

Имея огромную армию пользователей, GoDaddy располагает внушительным штатом сотрудников службы поддержки: зачастую случается, что клиенты теряют номер договора или пароль, забывают, какой email-адрес они использовали при регистрации домена. Именно эти проблемы помимо прочих и призвана решать служба поддержки. Для того чтобы успешно решить возникшие трудности, достаточно располагать информацией о доменном имени, адресе электронной почты, указанном в договоре, номере договора (или имени пользователя), адресе, указанном в регистрации, или четырех последних цифрах кредитной карты.

Помочь с проведением эксперимента Рэган попросил знакомого ИБ-специалиста — главу компании Night Lion Security Винни Тройю (Vinnie Troia). Тот позвонил в центр поддержки клиентов GoDaddy и рассказал оператору о том, что потерял пароль от админки своего сайта. Далее последовал запрос на подтверждение личности клиента. Так как Тройя обладал весьма ограниченной информацией о владельце сайта, попытка должна была провалиться, но получилось ровно наоборот.

Как известно, люди являются слабым звеном в любой системе безопасности, но в случае с сотрудниками техподдержки ситуация осложняется тем, что операторы call-центра имеют ряд других инструкций, в первую очередь направленных на обеспечение высокого качества обслуживания, скорости разрешения вопроса и удовлетворенности клиента сервисом. В эту парадигму не вписывается возможность отклонить запрос пользователя на основе одних только подозрений. Даже если работодатель дает сотрудникам право отказать клиенту при подозрении на угрозу безопасности, агентам проще просто «дать клиенту то, что он хочет». Если же клиент не вызывает подозрений и способен правдоподобно объяснить отсутствие дополнительной информации, проблем при смене пароля к сайту возникнуть не должно.

Зачитав доменное имя по каталогу WHOIS и «подтвердив» таким образом свое отношение к домену, Тройя «не смог вспомнить» адрес электронной почты, указанный при регистрации. Казалось бы, можно было и сдаваться, но, на счастье Тройи, его маленькая дочь начала шуметь на заднем плане и отвлекла представителя службы поддержки, а также подспудно вызвала расположение к звонящему и желание поскорее закончить дело. Далее пришло время применить самые простые тактики из арсенала социнженерии.

Создав ощущение того, что потерявший доступ к аккаунту пользователь очень занят и спешит, Тройя перешел к следующему этапу взлома. Он сыграл роль руководителя, которому самым срочным образом понадобился доступ к админке сайта. «У меня не было ни PIN-кода, ни четырех последних цифр кредитной карты, и я придумал секретаршу, которая регистрировала домен без моего участия. Назвав четыре произвольные цифры якобы моей кредитки, я, естественно, не смог верифицировать аккаунт и изобразил искреннее расстройство, пока моя дочь продолжала вопить на фоне нашего разговора с сотрудницей техподдержки. Затем я получил ссылку с инструкцией по восстановлению доступа к сайту», — делится впечатлениями Тройя.

GoDaddy позволяет сменить учетные данные клиента в специальной форме, если нужная для восстановления доступа информация неизвестна.

Для удостоверения личности GoDaddy требует предоставить документ с фотографией — это могут быть водительские права или паспорт. Если домен зарегистрирован на компанию, нужна информация о юрлице (как выяснилось позже, многие пользователи указывают при регистрации поддельные данные о компании, и в GoDaddy закрывают на это глаза).

Для подделки водительских прав Тройя использовал Photoshop, скрупулезно подрисовав даже тени от отпечатанных букв. На всякий случай были созданы почтовый ящик на Gmail и профили в соцсетях типа Google+. Когда спустя пару дней Тройе позвонила представительница GoDaddy, ответственная за смену данных аккаунта, она авторизовала email Тройи, а инструкции с новыми данными аккаунта мгновенно пришли на почту. Так завершилась атака, жертвой которой мог стать каждый, и совсем не эксперимента ради.

Этим примером Рэган хотел обратить внимание на слабую реализацию средств безопасности в GoDaddy: вышеописанный случай мог произойти с каждым. Последствия угона сайта очень серьезны — от подделки цифровых сертификатов до огромных репутационных издержек, если у вашего сайта много клиентов или фанатов. Изменив настройки DNS, злоумышленник может направлять трафик от клиентов на контролируемые хакерами сервера или проводить масштабные атаки на других пользователей. При подтверждении смены данных аккаунта легитимному пользователю может прийти сообщение о смене пароля, но по иронии такое письмо могут принять за фишинговое и удалить. Что касается Рэгана, письмо с уведомлением о смене пароля к сайту пришло слишком поздно — только через несколько часов.

Помочь проблеме может применение GoDaddy более строгих политик безопасности при общении службы техподдержки с клиентами либо подключение опции Domain Privacy. Но, как всегда, лучшая рекомендация — это смотреть в оба и проконсультироваться с регистратором о порядке действий в случае угона домена.

На момент написания статьи GoDaddy не смог прокомментировать конкретный случай.

Категории: Мошенничество