網絡攻擊者使用GoDaddy漏洞來詐騙用戶
在2018年7月,用戶開始報導一系列垃圾郵件 ,試圖通過推送虛假故事來欺騙他們。它讀到黑客已經滲入他們的計算機並使用網絡攝像頭錄製受害者的不雅視頻,該視頻即將發送給朋友和親戚,除非支付贖金。關於這個故事沒有任何原創性,但是出於幾個原因,一波又一波的電子郵件引人注目。首先,它包含一個真正的密碼,收件人在過去的某個時刻使用過,這使得該方案聽起來更有說服力。關於該活動的第二個有趣的事情是消息的數量和反垃圾郵件過濾器阻止了很少的消息。
快進幾個月,你會看到另一波垃圾郵件。它針對的是美國和加拿大的各種企業,醫院和學校, 它帶來了炸彈威脅 。再一次,有幾個因素使操作變得有趣。一方面,它看起來並不十分專業。這個故事不是很可信,但也許最荒謬的方面是贖金需求。在一天結束之前,這些騙子想要2萬美元的比特幣,許多專家都認為,除非你事先做好準備,否則實際上不可能得到。儘管如此,該活動仍具有嚴重的破壞性。出於謹慎的考慮,執法部門下令大規模撤離目標建築物,公司因工作停止而最終損失了大量資金。就像sextortion騙局一樣,這一浪潮也涉及大量通過過濾器而沒有任何嚴重問題的電子郵件。
因此,專家們開始認為這兩個活動可能是相互關聯的。現在,他們不僅確定,他們知道騙子是如何做到的。
黑客劫持了數十個休眠域以發送垃圾郵件
首先,讓我們來看看是什麼讓sextortion和炸彈威脅活動如此成功。通常,當騙子需要發送垃圾郵件時,他們有兩種選擇。他們可以註冊新域並創建與其關聯的電子郵件帳戶,也可以劫持現有帳戶。兩種策略都有一些缺點。
如果涉及被黑客入侵的電子郵件,如果所有者發現錯誤的話,整個事情可能會戛然而止。最重要的是,掌握大量受損帳戶可能既困難又昂貴。
註冊新域名也不是免費的,並且來自它們的垃圾郵件可能會被阻止,因為域名沒有時間獲得任何“聲譽”。但是,如果你劫持舊域名,情況會有所不同。
在分析這兩個活動的垃圾郵件時,安全研究員Ronald Guilmette注意到發件人的地址主要與幾年前註冊的域名有關,他很驚訝地發現他們中的許多人都屬於像MasterCard這樣的嚴肅公司, Facebook,雅虎!,華納兄弟娛樂等。這些域名沒有指向活躍的網站,看起來有人註冊了它們,然後忘記了它們。他們都有一個共同點 - 他們都使用GoDaddy的名字服務器。
世界上最大的域名註冊商的一個漏洞啟用了垃圾郵件活動
機製本身並不是全新的. 幾年前,安全工程師Matthew Bryant 發現 ,世界上一些最大的託管服務提供商處理NS記錄的方式存在缺陷,這使得域名劫持成為可能。 GoDaddy的系統當時沒有進行過檢查,但看起來他們的故障非常類似。
似乎如果您有一個與其中一個註冊商名稱服務器關聯的GoDaddy帳戶,只要它使用相同的名稱服務器,您就可以控制任何域名。系統不檢查您是否擁有或有權管理域,並允許您在GoDaddy.com上從客戶端更改其DNS設置。 在回答Ars Technica提出的問題時,GoDaddy承認問題是真實的,而且黑客確實設法利用它。目前,註冊商正在實施修復。
專家們認為,發送sextortion詐騙和炸彈威脅警報的黑客工作人員來自俄羅斯,這就是他們將其命名為Spammy Bear的原因。根據Ars Technica的說法,對於這兩個活動,騙子控制了至少78個域名,但Ronald Guilmette認為,多年來,他們已經發起了其他一些涉及多達4,000個GoDaddy註冊域名的垃圾郵件操作。
希望GoDaddy和其他域名註冊商和託管服務提供商最終都會做必要的事情來確保這種情況再也不會發生。