20.03.2015 | 11:45

Adam Haertle

Największego rejestratora domen da się zhakować telefonem i Photoshopem

By przejąć cudzą domenę wcale nie potrzeba hakować poczty, poznawać loginu, hasła, PINu czy numeru karty kredytowej. Czasem wystarczy kilka telefonów, dar przekonywania, Photoshop i nieoceniona pomoc obsługi klienta.

GoDaddy to największy światowy rejestrator domen, obsługujący ok. 30% rynku. Kilka dni temu pewien dziennikarz do spółki z szefem firmy zajmującej się bezpieczeństwem udowodnili, że możliwe jest przejęcie domeny w GoDaddy tylko na podstawie informacji zawartych we wpisie WHOIS.

Nie wiem, nie pamiętam, proszę mi pomóc

Steve Ragan, dziennikarz CSO Online, umówił się z Vinny Troia, szefem firmy Night Lion Security, że Vinny przejmie jego domenę specjalnie w tym celu wykupioną w GoDaddy. Vinny zrealizował zadanie i zajęło mu to tylko kilka dni.

Gdy użytkownik GoDaddy zapomni hasła, straci dostęp do konta poczty elektronicznej lub w inny sposób utraci dostęp do domeny, może skorzystać z kilku opcji automatycznego odzyskania danych lub może skontaktować się z obsługą klienta telefonicznie. Vinny, nie mając żadnych informacji oprócz nazwy domeny, wybrał ten drugi wariant. W celu przekonania obsługi klienta, że bardzo potrzebuje pomocy, przyjął rolę zabieganego dyrektora.

Zaczął od telefonu w którym wytłumaczył, że utracił dostęp do domeny. Został przepytany o dane znajdujące się w rejestrze WHOIS, zatem po prostu przeczytał je z ekranu komputera. Konsultant następnie zapytał go, czy posiada dostęp do skrzynki pocztowej, skojarzonej z domeną. Vinny poinformował, że nie posiada dostępu a powód takiej sytuacji jest skomplikowany i nie chce wchodzić w szczegóły. Chce po prostu odzyskać domenę.

Konsultant zapytał o kod PIN, jednak Vinny wytłumaczył, że domenę rejestrował jego asystent, który nie pamięta, by podawał kod PIN. Zapytany o ostatnie 4 cyfry numeru karty kredytowej użytej do zakupu domeny odpowiedział, że płacił asystent i podał 4 zmyślone cyfry, które oczywiście były niezgodne z przechowywanymi w systemach GoDaddy. W trakcie całej rozmowy w tle harcowały jego dzieci, co dodatkowo mogło wpłynąć na przekonanie obsługi klienta, że faktycznie jest bardzo zajętym człowiekiem. Wobec braku jakichkolwiek możliwych do potwierdzenia informacji Vinny został poproszony o przejście do specjalnego formularza kontaktowego.

Czas na Photoshopa

Aby obsłużyć każdy przypadek, nawet najtrudniejszy, GoDaddy posiada proces ręcznej weryfikacji danych użytkownika. W tym celu należy przesłać skan oficjalnego dokumentu tożsamości z danymi zgodnymi z wpisem WHOIS. Chyba już wiecie, jaki jest ciąg dalszy tej historii.

Podrobione prawo jazdy

Podrobione prawo jazdy

Vinny najpierw znalazł znajomego mieszkającego w tym samym stanie, w którym prawo jazdy mógł otrzymać prawdziwy właściciel domeny. Poprosił go o skan dokumentu i spędził kilka godzin przy Photoshopie (mógł zrobić to szybciej, ale jest perfekcjonistą). Wstawił zdjęcie, które nie miało nic wspólnego z rzeczywistym wyglądem prawdziwego posiadacza domeny oraz jego imię i nazwisko. By minimalnie chociaż uwiarygodnić oszustwo, założył konto Gmaila na nowe dane i stworzył prosty profil Google+ z tym samym zdjęciem, które znajdowało się na podrobionym prawie jazdy.

Formularz wysłał w piątek i musiał czekać do poniedziałku na reakcję obsługi. Został poproszony o podanie danych firmy, które miał zweryfikować przedstawiciel GoDaddy. Nie znał ich, zatem ponownie zadzwonił do obsługi klienta i przyznał się, że gdy wypełniał formularz rejestracyjny to dane zmyślał i nie pamięta, co wpisał. Usłyszał, że nie on jeden tak robi i chwilę potem dostał na swoją nową skrzynkę poczty instrukcje resetu hasła do cudzego konta.

Epilog

Dziennikarz opisał całą historię, a GoDaddy oświadczyło, że podrabianie dokumentów to przestępstwo. Co ciekawe, inni duzi rejestratorzy mają bardzo podobne procesy weryfikacji tożsamości klienta i tylko nieliczni nie umożliwiają uwierzytelnienia za pomocą pliku graficznego słusznie twierdząc, że w epoce Photoshopa to ryzykowna zabawa. Mamy nadzieję, że również najwięksi gracze pójdą po rozum do głowy i dotrze do nich, że nie można przekraczać granicy oddzielającej wygodę od bezpieczeństwa. A jeśli tego nie zrozumieją, to nie ma tego złego, co by na dobre nie wyszło – będziemy mieć więcej materiału na kolejne wpisy.

Powrót

Komentarze

  • 2015.03.20 11:52 Marcin

    z tego co wiem to polskie o2 umożliwia odzyskanie konta email po wysłaniu wniosku i skanu dowodu, też niezłe pole do nadużyć zwłaszcza, że plik .psd z wzorem dowodu lata po forach

    Odpowiedz
  • 2015.03.20 13:45 koza

    onet chyba tez ma taka mozliwosc

    Odpowiedz
  • 2015.03.20 16:54 Mateusz

    O2 ma na pewno bo sam robiłem :)

    Odpowiedz
  • 2015.03.20 16:56 poncjusz

    ciekawe, ze nie bylo zadnego porownywania IP, fingerprintu itd..

    Odpowiedz
  • 2015.03.20 18:06 jazz

    Ta metoda działa tez z allegro. Po przesłaniu skanu dowodu przxysla link do zresetowanias hasła na dowolnego nowego e-maila. Zadiałało na starym, ale nie używanym od kilku lat koncie allagro.

    Odpowiedz
  • 2015.03.20 18:32 mtqsen

    W tych czasach, wystarczy jedna drobnostka o której się nie ma pojęcia, a jest takich wiele. Wiele pozornych z pozoru drobnostek, tak nic nie znaczących że nie zwraca się na nie uwagi, razem nie dają Ci szansy byś nie unikł wykrycia.

    Odpowiedz
  • 2015.03.20 19:57 olek

    GoDaddy to jeden z większy spamujących serwerów .

    Odpowiedz
  • 2015.03.20 22:15 Andrzej

    Nie na temat, ale coś ciekawego ….

    Betabot w Twoich wezwaniach do zapłaty.

    „Pierwszy program, który uruchamia się po otwarciu załącznika to dropper napisany w języku .NET. Jego zadaniem jest pobranie właściwego złośliwego oprogramowania z określonej domeny. Jeśli nie może znaleźć tego pliku to próbuje połączyć się z inną domeną. Dodatkową funkcjonalnością jest połączenie się ze stroną z3s.pl (innym adresem Zaufanej Trzeciej Strony). Połączenie jest realizowane albo przez WebProxy..”

    ciekawe, prawda, tutaj całość:

    http://www.cert.pl/news/9768

    Odpowiedz
  • 2015.03.21 15:25 Adam

    @Andrzej – nie ma jezyka .NET

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Największego rejestratora domen da się zhakować telefonem i Photoshopem

Komentarze