資安廠商 KrebsOnSecurity 發表研究報告指出,近幾月兩宗大規模勒索郵件攻擊事件,都和世界最大網域註冊商 GoDaddy 的安控疏失有關。其中一起勒索信揚言放置炸彈,已造成十多間學校、商家或政府機關因而關閉。
報告指出,這兩宗和俄羅斯駭客組織相關的勒索信件攻擊,其開信率非常高,與一般亂槍打鳥的垃圾信攻擊有所不同;這表示這些垃圾信件能繞過 Email 垃圾信阻擋系統的偵測。
研究發現這些垃圾信之所以能繞過垃圾信偵測系統的原因,就在於透過知名大品牌註冊多年的網域發送;許多垃圾信的網域都來自財星五百大或一千大品牌,如麥當勞、希爾頓飯店、時代華納、特斯拉、Oath 等。
上述被用來發垃圾信的網域,大多透過 GoDaddy 註冊並管理,而駭客正是利用 GoDaddy 的安控疏失;由於 GoDaddy 並未嚴格查證任何會員對某網域所有權的主張要求,因此駭客能輕易取得這些知名品牌的網域控制權,並將 DNS 導向至旗下的垃圾信主機。
該報告統計出至少有四千個在 GoDaddy 網域透過此一疏失用來發送勒索信,GoDaddy 也承認確實存有安控疏失,也已採取行動補正。
為防制此類問題,網域管理者應隨時檢視網域設定是否遭到竄改,特別是立即刪除已不再使用的子網域。
資料來源:
- https://krebsonsecurity.com/2019/01/bomb-threat-sextortion-spammers-abused-weakness-at-godaddy-com/
- https://arstechnica.com/information-technology/2019/01/godaddy-weak ness-let-bomb-threat-scammers-hija ck-thousands-of-big-name-domains/
- https://www.itpro.co.uk/security/32822/godaddy-authentication-vulnerability-exploited-for-phishing-campaigns
