By przejąć cudzą domenę wcale nie potrzeba hakować poczty, poznawać loginu, hasła, PINu czy numeru karty kredytowej. Czasem wystarczy kilka telefonów, dar przekonywania, Photoshop i nieoceniona pomoc obsługi klienta.
GoDaddy to największy światowy rejestrator domen, obsługujący ok. 30% rynku. Kilka dni temu pewien dziennikarz do spółki z szefem firmy zajmującej się bezpieczeństwem udowodnili, że możliwe jest przejęcie domeny w GoDaddy tylko na podstawie informacji zawartych we wpisie WHOIS.
Nie wiem, nie pamiętam, proszę mi pomóc
Steve Ragan, dziennikarz CSO Online, umówił się z Vinny Troia, szefem firmy Night Lion Security, że Vinny przejmie jego domenę specjalnie w tym celu wykupioną w GoDaddy. Vinny zrealizował zadanie i zajęło mu to tylko kilka dni.
Gdy użytkownik GoDaddy zapomni hasła, straci dostęp do konta poczty elektronicznej lub w inny sposób utraci dostęp do domeny, może skorzystać z kilku opcji automatycznego odzyskania danych lub może skontaktować się z obsługą klienta telefonicznie. Vinny, nie mając żadnych informacji oprócz nazwy domeny, wybrał ten drugi wariant. W celu przekonania obsługi klienta, że bardzo potrzebuje pomocy, przyjął rolę zabieganego dyrektora.
Zaczął od telefonu w którym wytłumaczył, że utracił dostęp do domeny. Został przepytany o dane znajdujące się w rejestrze WHOIS, zatem po prostu przeczytał je z ekranu komputera. Konsultant następnie zapytał go, czy posiada dostęp do skrzynki pocztowej, skojarzonej z domeną. Vinny poinformował, że nie posiada dostępu a powód takiej sytuacji jest skomplikowany i nie chce wchodzić w szczegóły. Chce po prostu odzyskać domenę.
Konsultant zapytał o kod PIN, jednak Vinny wytłumaczył, że domenę rejestrował jego asystent, który nie pamięta, by podawał kod PIN. Zapytany o ostatnie 4 cyfry numeru karty kredytowej użytej do zakupu domeny odpowiedział, że płacił asystent i podał 4 zmyślone cyfry, które oczywiście były niezgodne z przechowywanymi w systemach GoDaddy. W trakcie całej rozmowy w tle harcowały jego dzieci, co dodatkowo mogło wpłynąć na przekonanie obsługi klienta, że faktycznie jest bardzo zajętym człowiekiem. Wobec braku jakichkolwiek możliwych do potwierdzenia informacji Vinny został poproszony o przejście do specjalnego formularza kontaktowego.
Czas na Photoshopa
Aby obsłużyć każdy przypadek, nawet najtrudniejszy, GoDaddy posiada proces ręcznej weryfikacji danych użytkownika. W tym celu należy przesłać skan oficjalnego dokumentu tożsamości z danymi zgodnymi z wpisem WHOIS. Chyba już wiecie, jaki jest ciąg dalszy tej historii.
Podrobione prawo jazdy
Vinny najpierw znalazł znajomego mieszkającego w tym samym stanie, w którym prawo jazdy mógł otrzymać prawdziwy właściciel domeny. Poprosił go o skan dokumentu i spędził kilka godzin przy Photoshopie (mógł zrobić to szybciej, ale jest perfekcjonistą). Wstawił zdjęcie, które nie miało nic wspólnego z rzeczywistym wyglądem prawdziwego posiadacza domeny oraz jego imię i nazwisko. By minimalnie chociaż uwiarygodnić oszustwo, założył konto Gmaila na nowe dane i stworzył prosty profil Google+ z tym samym zdjęciem, które znajdowało się na podrobionym prawie jazdy.
Formularz wysłał w piątek i musiał czekać do poniedziałku na reakcję obsługi. Został poproszony o podanie danych firmy, które miał zweryfikować przedstawiciel GoDaddy. Nie znał ich, zatem ponownie zadzwonił do obsługi klienta i przyznał się, że gdy wypełniał formularz rejestracyjny to dane zmyślał i nie pamięta, co wpisał. Usłyszał, że nie on jeden tak robi i chwilę potem dostał na swoją nową skrzynkę poczty instrukcje resetu hasła do cudzego konta.
Epilog
Dziennikarz opisał całą historię, a GoDaddy oświadczyło, że podrabianie dokumentów to przestępstwo. Co ciekawe, inni duzi rejestratorzy mają bardzo podobne procesy weryfikacji tożsamości klienta i tylko nieliczni nie umożliwiają uwierzytelnienia za pomocą pliku graficznego słusznie twierdząc, że w epoce Photoshopa to ryzykowna zabawa. Mamy nadzieję, że również najwięksi gracze pójdą po rozum do głowy i dotrze do nich, że nie można przekraczać granicy oddzielającej wygodę od bezpieczeństwa. A jeśli tego nie zrozumieją, to nie ma tego złego, co by na dobre nie wyszło – będziemy mieć więcej materiału na kolejne wpisy.
Komentarze
z tego co wiem to polskie o2 umożliwia odzyskanie konta email po wysłaniu wniosku i skanu dowodu, też niezłe pole do nadużyć zwłaszcza, że plik .psd z wzorem dowodu lata po forach
onet chyba tez ma taka mozliwosc
O2 ma na pewno bo sam robiłem :)
ciekawe, ze nie bylo zadnego porownywania IP, fingerprintu itd..
Ta metoda działa tez z allegro. Po przesłaniu skanu dowodu przxysla link do zresetowanias hasła na dowolnego nowego e-maila. Zadiałało na starym, ale nie używanym od kilku lat koncie allagro.
W tych czasach, wystarczy jedna drobnostka o której się nie ma pojęcia, a jest takich wiele. Wiele pozornych z pozoru drobnostek, tak nic nie znaczących że nie zwraca się na nie uwagi, razem nie dają Ci szansy byś nie unikł wykrycia.
GoDaddy to jeden z większy spamujących serwerów .
Nie na temat, ale coś ciekawego ….
Betabot w Twoich wezwaniach do zapłaty.
„Pierwszy program, który uruchamia się po otwarciu załącznika to dropper napisany w języku .NET. Jego zadaniem jest pobranie właściwego złośliwego oprogramowania z określonej domeny. Jeśli nie może znaleźć tego pliku to próbuje połączyć się z inną domeną. Dodatkową funkcjonalnością jest połączenie się ze stroną z3s.pl (innym adresem Zaufanej Trzeciej Strony). Połączenie jest realizowane albo przez WebProxy..”
ciekawe, prawda, tutaj całość:
http://www.cert.pl/news/9768
@Andrzej – nie ma jezyka .NET