dinsdag 20 september 2011

Bedrijfsspionage met domeinnamen

Bedrijfsspionnage hoeft niet altijd spectaculair te zijn. Simpelweg door het opzetten van dubbelganger domeinnamen kan je op relatief eenvoudige manier heel wat bedrijfsinformatie onderscheppen.

Tot die conclussie kwamen onderzoekers Peter Kim en Garrett Gee van de Godai Group. Door eenvoudigweg domeinnamen te registreren die zeer sterk lijken op de domeinnamen van gerespecteerde bedrijven konden ze op 6 maanden tijd 120.000 e-mailberichten onderscheppen. Hiervoor moesten ze slechts 30 domeinnamen registreren. De e-mailberichten die ze konden onderscheppen bevatten zowel gebruikersnamen en wachtwoorden, informatie over medewerkers en bedrijfsgeheimen. De onderzoekers werden slechts in 1 geval ontdekt.

Hoe werkt het ?


Grote bedrijven gebruiken hun domeinnaam met subdomeinen voor hun lokale vestigingen. Wil je naar de Belgische vestiging van IBM een berichtje sturen dan doe je dat naar [bestemmeling]@be.ibm.com
De onderzoekers merkten op dat er heel wat typfouten hiermee gebeuren en registreerden beibm.com (het punt ontbreekt). De e-mail die toekomst op deze domeinnamen wordt dan afgeleid naar een mailbox van de hacker. Van de 500 grootste Amerikaanse bedrijven bleken 151 bedrijven kwetsbaar te zijn voor deze vorm van hacking.
Ook Belgische bedrijven zijn kwetsbaar. Zo gebruikt Telenet voor zijn medewerkers @staff.telenet.be-adressen. De domeinnaam stafftelenet.be is nog vrij.

Kwetsbare domeinnamen zijn in het rood aangeduid.


In het wild


Ook in de praktijk blijkt deze vorm van bedrijfsspionage al gebruikt. Zo zijn minstens 15 voorbeelden gekend waar dubbelganger domeinnamen van grote Amerikaanse bedrijven zijn geregistreerd met een Chinees adres en waar de e-mail wordt afgeleid.

Wat kan je doen ?


Tegen deze vorm van hacking zijn eenvoudige hulpmiddelen zeer effectief :
  • Registreer dubbelganger domeinnamen preventief en laat ze naar niks verwijzen.
  • Als er al dubbelganger domeinnamen zijn geregistreerd voor je bedrijf, dan kan je via een dispuut resolutie (UDRP) de domeinnaam terug claimen.
  • Als je interne nameservers hebt, laat dan dubbelganger domeinnamen naar niks verwijzen. Heb je geen interne nameservers, dan kan je op de mailserver instellen dat mail naar dubbelganger domeinnamen niet wordt afgeleverd. Zo zal interne mail niet toekomen bij een hacker.
  • Als je vermoed dat er misbruik is, communiceer dit dan aan gebruikers. Hoe meer informatie er beschikbaar is bij gebruikers, hoe meer waakzaam ze zijn.
  • Wees alert als je vermoedt dat mails niet toekomen.

Bron : Het originele rapport kan je hier downloaden.
Gepost door Bert Van Pottelberghe op 09:00
Labels:

Geen opmerkingen:

Een reactie posten

Abonneren op: Reacties posten (Atom)