[ad_1]

Si vous exploitez une entreprise en ligne, peu de choses peuvent être aussi perturbatrices ou destructrices pour votre marque que quelqu’un qui vole le nom de domaine de votre entreprise et en fait ce qu’il veut. Même ainsi, la plupart des principaux propriétaires de sites Web ne tirent pas pleinement parti des outils de sécurité disponibles pour protéger leurs domaines contre le piratage. Voici l’histoire d’une victime récente qui faisait presque tout son possible pour éviter une telle situation et avait encore un domaine clé volé par des escrocs.

Le 23 décembre 2019, des attaquants inconnus ont commencé à contacter le service client de Fournisseur ouvert, un bureau d’enregistrement de noms de domaine populaire basé aux Pays-Bas. Les escrocs ont dit aux représentants des clients qu’ils venaient d’acheter le domaine au propriétaire d’origine e-hawk.net — qui fait partie d’un service qui aide les sites Web à détecter et à bloquer la fraude — et qu’ils rencontraient des difficultés pour transférer le domaine d’OpenProvider vers un autre bureau d’enregistrement.

Le véritable propriétaire d’e-hawk.net est Raymond Dijkxhoorn, un expert en sécurité et entrepreneur qui a passé une grande partie de sa carrière à compliquer la vie des cyberescrocs et des spammeurs. Dijkxhoorn et E-HAWK PDG Peter Cholnoky avaient déjà protégé leur domaine avec un «verrouillage du bureau d’enregistrement», un service qui demande au bureau d’enregistrement de confirmer toute modification demandée avec le propriétaire du domaine via la méthode de communication spécifiée par le titulaire.

Dans le cas d’e-hawk.net, cependant, les escrocs ont réussi à tromper un représentant du service client d’OpenProvider pour qu’il transfère le domaine à un autre bureau d’enregistrement avec une ruse d’ingénierie sociale assez boiteuse – et sans déclencher aucune vérification auprès des véritables propriétaires du domaine.

Plus précisément, les voleurs ont contacté OpenProvider via Whatsappont déclaré qu’ils étaient désormais les propriétaires légitimes du domaine, et ont partagé une courte capture d’écran vidéo montrant le système automatisé du bureau d’enregistrement bloquant le transfert de domaine (voir la vidéo ci-dessous).

« L’agent de support a utilement essayé de vérifier si ce que le [scammers] disaient que c’était vrai et ont dit: « Voyons si nous pouvons déplacer e-hawk.net d’ici pour vérifier si cela fonctionne », a déclaré Dijkxhoorn. « Mais un bureau d’enregistrement ne doit pas agir sur les instructions provenant d’une adresse e-mail aléatoire ou d’un autre compte qui n’est même pas connecté au domaine en question. »

Dijkxhoorn a partagé des enregistrements obtenus auprès d’OpenProvider montrant que le 23 décembre 2019, le domaine e-hawk.net a été transféré vers un compte revendeur au sein d’OpenProvider. À peine trois jours plus tard, ce compte revendeur a déplacé e-hawk.net vers un autre bureau d’enregistrement – Registre du domaine public (PDR).

« En raison du passage auparavant silencieux à un autre compte revendeur au sein d’OpenProvider, nous n’avons pas été informés par le bureau d’enregistrement de tout changement », a déclaré Dijkxhoorn. « Ce mouvement frauduleux a été possible grâce à une ingénierie sociale réussie envers l’équipe de support d’OpenProvider. Nous avons maintenant appris qu’après le passage à l’autre compte OpenProvider, les fraudeurs pourraient supprimer silencieusement le verrou du bureau d’enregistrement et déplacer le domaine vers PDR.

VERROUILLAGE DU REGISTRE

Dijkxhoorn a déclaré qu’une mesure de sécurité que son entreprise n’avait pas prise avec son domaine avant le transfert frauduleux était une « verrouillage du registre», un processus manuel (et parfois hors ligne) plus strict qui neutralise efficacement toute tentative de fraude d’ingénierie sociale de votre registraire de domaine.

Avec un verrouillage de registre en place, votre bureau d’enregistrement ne peut pas déplacer seul votre domaine vers un autre bureau d’enregistrement. Cela nécessite une vérification manuelle des contacts par le registre de domaine approprié, tel que Verisign — qui est le registre faisant autorité pour tous les domaines se terminant par .com, .net, .name, .cc, .tv, .edu, .gov et .jobs. D’autres registres gèrent les verrous pour des domaines de premier niveau ou de code de pays spécifiques, y compris Nominet (pour les domaines .co.uk ou .uk), EURID (pour les domaines .eu), CNNIC pour les domaines (pour .cn), etc.

Selon les données fournies par la société de protection des marques numériques SCCtandis que les domaines créés dans les trois domaines de premier niveau les plus enregistrés (.com, .jp et .cn) sont éligibles pour les verrous de registre, seulement 22 % des noms de domaine suivis dans la liste Forbes des plus grandes entreprises publiques du monde ont des verrous de registre sécurisés.

Malheureusement, tous les bureaux d’enregistrement ne prennent pas en charge les verrous de registre (une liste des domaines de premier niveau qui autorisent les verrous de registre est ici, gracieuseté du SCC). Mais comme nous le verrons dans un instant, il existe d’autres précautions de sécurité qui peuvent être utiles si votre domaine finit par être piraté.

Dijkxhoorn a déclaré que son entreprise avait appris le vol de domaine pour la première fois le 13 janvier 2020, date à laquelle les fraudeurs ont décidé de modifier les paramètres du système de noms de domaine (DNS) pour e-hawk.net. Cette alerte a été déclenchée par des systèmes qu’E-HAWK avait précédemment construits en interne qui surveillent en permanence leur écurie de domaines pour tout changement DNS.

Soit dit en passant, cette surveillance continue de ses paramètres DNS est une approche puissante pour aider à contrer les attaques contre vos domaines et votre infrastructure DNS. Toute personne curieuse de savoir pourquoi cela pourrait être une bonne approche devrait jeter un œil à cette analyse approfondie de 2019 sur « DNSpionage », le nom donné aux exploits d’un groupe iranien qui a réussi à voler d’innombrables mots de passe et informations d’identification VPN à de grandes entreprises via DNS. – attaques basées.

DNSSEC

Peu de temps après avoir pointé les paramètres DNS d’e-hawk.net vers un serveur qu’ils contrôlaient, les attaquants ont pu obtenir au moins un certificat de cryptage pour le domaine, ce qui aurait pu leur permettre d’intercepter et de lire les communications Web et e-mail cryptées liées à e-hawk. .rapporter.

Mais cet effort a échoué parce que les propriétaires d’E-HAWK avaient également activé DNSSEC pour leurs domaines (alias « DNS Security Extensions »), qui protège les applications contre l’utilisation de données DNS falsifiées ou manipulées en exigeant que toutes les requêtes DNS pour un domaine ou un ensemble de domaines donné soient signées numériquement.

Avec DNSSEC correctement activé, si un serveur de noms détermine que l’enregistrement d’adresse pour un domaine donné n’a pas été modifié en transit, il résout le domaine et permet à l’utilisateur de visiter le site. Si, toutefois, cet enregistrement a été modifié d’une manière ou d’une autre ou ne correspond pas au domaine demandé, le serveur de noms empêche l’utilisateur d’atteindre l’adresse frauduleuse.

Bien que les fraudeurs qui ont piraté votre domaine et/ou coopté l’accès à votre bureau d’enregistrement de domaine puissent et essaieront généralement de supprimer tous les enregistrements DNSSEC associés au domaine piraté, il faut généralement quelques jours pour que ces enregistrements mis à jour soient remarqués et respectés par le reste d’Internet.

En conséquence, l’activation de DNSSEC pour ses domaines a permis à E-HAWK d’avoir environ 48 heures supplémentaires pour reprendre le contrôle de son domaine avant que tout trafic crypté vers et depuis e-hawk.net n’ait pu être intercepté.

En fin de compte, E-HAWK a pu récupérer son domaine piraté en moins de 48 heures, mais uniquement parce que ses propriétaires sont nommés par leur prénom avec de nombreuses sociétés qui gèrent le système mondial de noms de domaine d’Internet. Peut-être plus important encore, ils connaissaient des personnes clés chez PDR – le bureau d’enregistrement auquel les voleurs ont transféré le domaine volé.

Dijkxhoorn a déclaré que sans cet accès à l’industrie, E-HAWK attendrait probablement encore de reprendre le contrôle de son domaine.

« Ce processus n’est normalement pas si rapide », a-t-il déclaré, notant que la plupart des domaines ne peuvent pas être déplacés pendant au moins 60 jours après un transfert réussi vers un autre bureau d’enregistrement.

Dans une interview avec BreachTrace, PDG et fondateur d’OpenProvider Arno Vis a déclaré qu’OpenProvider revoyait ses procédures et ses systèmes de construction pour empêcher les employés de l’assistance de passer outre les contrôles de sécurité fournis avec un verrou de bureau d’enregistrement.

« Nous construisons une couche supplémentaire d’approbation pour les choses que les ingénieurs de support ne devraient pas faire en premier lieu », a déclaré Vis. « Pour autant que je sache, c’est la première fois que quelque chose comme ça nous arrive. »

Comme dans ce cas, les escrocs spécialisés dans le vol de domaines bondissent souvent pendant les vacances, lorsque de nombreux bureaux d’enregistrement manquent de personnel bien formé. Mais Vis a déclaré que l’attaque contre E-HAWK visait l’ingénieur de support le plus expérimenté de l’entreprise.

« C’est pourquoi l’ingénierie sociale est une chose si délicate, car à la fin, vous avez toujours une personne qui doit prendre une décision sur quelque chose et dans certains cas, elle ne prend pas la bonne décision », a-t-il déclaré.

QUE POUVEZ-VOUS FAIRE?

Pour récapituler, pour une sécurité maximale sur vos domaines, envisagez d’adopter tout ou partie des bonnes pratiques suivantes :

-Utilisez des fonctionnalités d’enregistrement telles que Registry Lock qui peuvent aider à protéger les enregistrements de noms de domaine contre la modification. Notez que cela peut augmenter le temps nécessaire pour apporter des modifications clés au domaine verrouillé (telles que des modifications DNS).

-Utilisez DNSSEC (zones de signature et réponses de validation).

-Utilisez des listes de contrôle d’accès pour les applications, le trafic Internet et la surveillance.

-Utilisez l’authentification à 2 facteurs et exigez qu’elle soit utilisée par tous les utilisateurs et sous-traitants concernés.

– Dans les cas où des mots de passe sont utilisés, choisissez des mots de passe uniques et envisagez des gestionnaires de mots de passe.

-Examinez la sécurité des comptes existants avec les bureaux d’enregistrement et d’autres fournisseurs, et assurez-vous d’avoir plusieurs notifications en place quand et si un domaine que vous possédez est sur le point d’expirer.

-Surveiller l’émission de nouveaux certificats SSL pour vos domaines en surveillant, par exemple, Journaux de transparence des certificats.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *