网络攻击者使用GoDaddy漏洞来诈骗用户

GoDaddy NS Vulnerability

在2018年7月,用户开始报道一系列垃圾邮件 ,试图通过推送虚假故事来欺骗他们。它读到黑客已经渗入他们的计算机并使用网络摄像头录制受害者的不雅视频,该视频即将发送给朋友和亲戚,除非支付赎金。关于这个故事没有任何原创性,但是出于几个原因,一波又一波的电子邮件引人注目。首先,它包含一个真正的密码,收件人在过去的某个时刻使用过,这使得该方案听起来更有说服力。关于该活动的第二个有趣的事情是消息的数量和反垃圾邮件过滤器阻止了很少的消息。

快进几个月,你会看到另一波垃圾邮件。它针对的是美国和加拿大的各种企业,医院和学校, 它带来了炸弹威胁 。再一次,有几个因素使操作变得有趣。一方面,它看起来并不十分专业。这个故事不是很可信,但也许最荒谬的方面是赎金需求。在一天结束之前,这些骗子想要2万美元的比特币,许多专家都认为,除非你事先做好准备,否则实际上不可能得到。尽管如此,该活动仍具有严重的破坏性。出于谨慎的考虑,执法部门下令大规模撤离目标建筑物,公司因工作停止而最终损失了大量资金。就像sextortion骗局一样,这一浪潮也涉及大量通过过滤器而没有任何严重问题的电子邮件。

因此,专家们开始认为这两个活动可能是相互关联的。现在,他们不仅确定,他们知道骗子是如何做到的。

黑客劫持了数十个休眠域以发送垃圾邮件

首先,让我们来看看是什么让sextortion和炸弹威胁活动如此成功。通常,当骗子需要发送垃圾邮件时,他们有两种选择。他们可以注册新域并创建与其关联的电子邮件帐户,也可以劫持现有帐户。两种策略都有一些缺点。

如果涉及被黑客入侵的电子邮件,如果所有者发现错误的话,整个事情可能会戛然而止。最重要的是,掌握大量受损帐户可能既困难又昂贵。

注册新域名也不是免费的,并且来自它们的垃圾邮件可能会被阻止,因为域名没有时间获得任何“声誉”。但是,如果你劫持旧域名,情况会有所不同。

在分析这两个活动的垃圾邮件时,安全研究员Ronald Guilmette注意到发件人的地址主要与几年前注册的域名有关,他很惊讶地发现他们中的许多人都属于像MasterCard这样的严肃公司, Facebook,雅虎!,华纳兄弟娱乐等。这些域名没有指向活跃的网站,看起来有人注册了它们,然后忘记了它们。他们都有一个共同点 - 他们都使用GoDaddy的名字服务器。

世界上最大的域名注册商的一个漏洞启用了垃圾邮件活动

机制本身并不是全新的. 几年前,安全工程师Matthew Bryant 发现 ,世界上一些最大的托管服务提供商处理NS记录的方式存在缺陷,这使得域名劫持成为可能。 GoDaddy的系统当时没有进行过检查,但看起来他们的故障非常类似。

似乎如果您有一个与其中一个注册商名称服务器关联的GoDaddy帐户,只要它使用相同的名称服务器,您就可以控制任何域名。系统不检查您是否拥有或有权管理域,并允许您在GoDaddy.com上从客户端更改其DNS设置。 在回答Ars Technica提出的问题时,GoDaddy承认问题是真实的,而且黑客确实设法利用它。目前,注册商正在实施修复。

专家们认为,发送sextortion诈骗和炸弹威胁警报的黑客工作人员来自俄罗斯,这就是他们将其命名为Spammy Bear的原因。根据Ars Technica的说法,对于这两个活动,骗子控制了至少78个域名,但Ronald Guilmette认为,多年来,他们已经发起了其他一些涉及多达4,000个GoDaddy注册域名的垃圾邮件操作。

希望GoDaddy和其他域名注册商和托管服务提供商最终都会做必要的事情来确保这种情况再也不会发生。

January 28, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 4是什么?