¿Su dominio tiene un bloqueo de registro? – Krebs sobre seguridad


Si está ejecutando un negocio en línea, pocas cosas pueden ser tan perjudiciales o destructivas para su marca como que alguien robe el nombre de dominio de su empresa y haga lo que quiera con él. Aun así, la mayoría de los principales propietarios de sitios world wide web no aprovechan al máximo las herramientas de seguridad disponibles para proteger sus dominios de ser secuestrados. Aquí está la historia de una víctima reciente que estaba haciendo casi todo lo posible para evitar tal situación y aún así los estafadores robaron un dominio clave.

El 23 de diciembre de 2019, atacantes desconocidos comenzaron a contactar a personas de atención al cliente en OpenProvider, un registrador de nombres de dominio common con sede en los Países Bajos. Los estafadores le dijeron a los representantes de los clientes que acababan de comprarle al propietario initial el dominio e-hawk.internet , Que forma parte de un servicio que ayuda a los sitios world wide web a detectar y bloquear el fraude, y que tenían problemas para transferir el dominio de OpenProvider a un registrador diferente.

El verdadero dueño de e-hawk.web es Raymond Dijkxhoorn, un experto en seguridad y empresario que ha pasado gran parte de su carrera haciendo la vida más difícil para los ciberdelincuentes y los spammers. Dijkxhoorn y E-HAWK CEO Peter Cholnoky ya había protegido su dominio con un «bloqueo de registrador«, Un servicio que requiere que el registrador confirme cualquier cambio solicitado con el propietario del dominio a través del método de comunicación especificado por el registrante.

Sin embargo, en el caso de e-hawk.internet, los estafadores lograron engañar a un representante de servicio al cliente de OpenProvider para que transfiriera el dominio a otro registrador con un truco de ingeniería social bastante lamentable, y sin provocar ninguna verificación a los verdaderos propietarios del dominio.

Específicamente, los ladrones se contactaron con OpenProvider a través de WhatsApp, dijeron que ahora eran los propietarios legítimos del dominio y compartieron un breve video clip de captura de pantalla que muestra el sistema automatizado del registrador que bloquea la transferencia del dominio (vea el video a continuación).

(incrustar) https://www.youtube.com/enjoy?v=Wmc57l1FRuo (/ incrustar)

«El agente de soporte trató de verificar si lo que decían los (estafadores) period cierto y dijo:» Veamos si podemos mover e-hawk.net desde aquí para verificar si eso funciona «, dijo Dijkxhoorn. «Pero un registrador no debe actuar siguiendo las instrucciones que provienen de una dirección de correo electrónico aleatoria u otra cuenta que ni siquiera está conectada al dominio en cuestión».

Dijkxhoorn compartió registros obtenidos de OpenProvider que muestran que el 23 de diciembre de 2019, el dominio e-hawk.net fue transferido a una cuenta de revendedor dentro de OpenProvider. Solo tres días después, esa cuenta de revendedor trasladó e-hawk.net a otro registrador: Registro de dominio público (PDR)

«Debido al movimiento previamente silencioso a otra cuenta de revendedor dentro de OpenProvider, el registrador no nos notificó sobre ningún cambio», dijo Dijkxhoorn. “Este movimiento fraudulento fue posible debido a la exitosa ingeniería social hacia el equipo de soporte de OpenProvider. Ahora hemos aprendido que después del traslado a la otra cuenta de OpenProvider, los estafadores podrían eliminar silenciosamente el bloqueo del registrador y mover el dominio a PDR «.

BLOQUEO DE REGISTRO

Dijkxhoorn dijo que una precaución de seguridad que su compañía no había tomado con su dominio antes de la transferencia fraudulenta fue un «bloqueo de registro«, Un proceso handbook más estricto (y, a veces, fuera de línea) que neutraliza de manera efectiva cualquier intento de los estafadores de diseñar socialmente su registrador de dominios.

Con un bloqueo de registro en su lugar, su registrador no puede mover su dominio a otro registrador por sí solo. Para hacerlo, se requiere la verificación guide de contactos por parte del registro de dominio apropiado, como Verisign – que es el registro autorizado para todos los dominios que terminan en .com, .web, .title, .cc, .television set, .edu, .gov y .work. Otros registros manejan bloqueos para dominios específicos de nivel top-quality o de código de país, incluidos Nominet (para dominios .co.british isles o .uk), EURID (para dominios .eu), CNNIC para dominios (para .cn), etc.

Según los datos proporcionados por la firma de protección de marca electronic CSC, aunque los dominios creados en los tres dominios de nivel excellent más registrados (.com, .jp y .cn) son elegibles para bloqueos de registro, solo el 22 por ciento de los nombres de dominio rastreados en la lista de Forbes de las empresas públicas más grandes del mundo tienen bloqueos de registro asegurados.

Desafortunadamente, no todos los registradores admiten bloqueos de registro (una lista de dominios de nivel remarkable que sí permiten bloqueos de registro es aquí, cortesía de CSC). Pero como veremos en un momento, hay otras precauciones de seguridad que pueden ayudar y ayudarán si su dominio de alguna manera termina siendo secuestrado.

Dijkxhoorn dijo que su compañía se enteró del robo de dominio el 13 de enero de 2020, que fue la fecha en que los estafadores cambiaron la configuración del sistema de nombres de dominio (DNS) para e-hawk.internet. Esa alerta fue activada por los sistemas que E-HAWK había construido previamente internamente y que monitorea continuamente su estable de dominios para detectar cualquier cambio de DNS.

Por cierto, este monitoreo continuo de la configuración de DNS es un enfoque poderoso para ayudar a los ataques contundentes en sus dominios y la infraestructura de DNS. Cualquier persona curiosa sobre por qué este podría ser un buen enfoque debería echar un vistazo a esta inmersión profunda de 2019 en «DNSpionage», el nombre dado a las hazañas de un grupo iraní que ha robado con éxito innumerables contraseñas y credenciales de VPN de las principales empresas a través de DNS basados ​​en ataques.

DNSSEC

Poco después de apuntar la configuración de DNS de e-hawk.web a un servidor que controlaban, los atacantes pudieron obtener al menos un certificado de encriptación para el dominio, lo que les habría permitido interceptar y leer comunicaciones net y de correo electrónico encriptadas vinculadas a e-hawk .crimson.

Pero ese esfuerzo fracasó porque los propietarios de E-HAWK también habían habilitado DNSSEC para sus dominios (también conocido como «Extensiones de seguridad DNS»), que protege a las aplicaciones contra el uso de datos DNS falsificados o manipulados al exigir que todas las consultas DNS para un dominio o conjunto de dominios determinados estén firmados digitalmente.

Con DNSSEC correctamente habilitado, si un servidor de nombres determina que el registro de dirección para un dominio dado no se ha modificado en tránsito, resuelve el dominio y permite al usuario visitar el sitio. Sin embargo, si ese registro se ha modificado de alguna manera o no coincide con el dominio solicitado, el servidor de nombres impide que el usuario llegue a la dirección fraudulenta.

Si bien los estafadores que han secuestrado su dominio y / o han cooptado el acceso a su registrador de dominios pueden y generalmente intentarán eliminar cualquier registro DNSSEC asociado con el dominio secuestrado, generalmente toma unos días para que estos registros actualizados sean notados y obedecidos por El resto de World wide web.

Como resultado, tener DNSSEC habilitado para sus dominios compró E-HAWK unas 48 horas más o menos para recuperar el management de su dominio antes de que cualquier tráfico encriptado hacia y desde e-hawk.net pudiera haber sido interceptado.

Al final, E-HAWK pudo recuperar su dominio secuestrado en menos de 48 horas, pero solo porque sus propietarios están en el primer nombre con muchas de las compañías que administran el sistema world de nombres de dominio de World-wide-web. Quizás lo más importante es que conocían a personas clave en PDR: el registrador al que los ladrones trasladaron el dominio robado.

Dijkxhoorn dijo que sin ese acceso a la industria, E-HAWK probablemente aún estaría esperando volver a asumir el command de su dominio.

«Este proceso normalmente no es tan rápido», dijo, y señaló que la mayoría de los dominios no se pueden mover durante al menos 60 días después de una transferencia exitosa a otro registrador.

En una entrevista con KrebsOnSecurity, CEO y Fundador de OpenProvider Arno Vis dijo que OpenProvider está revisando sus procedimientos y creando sistemas para evitar que los empleados de soporte anulen las verificaciones de seguridad que vienen con un bloqueo de registro.

«Estamos creando una capa adicional de aprobación para cosas que los ingenieros de soporte no deberían hacer en primer lugar», dijo Vis. «Hasta donde yo sé, esta es la primera vez que algo así nos ha sucedido».

Como en este caso, los delincuentes que se especializan en el robo de dominios a menudo se lanzan durante las vacaciones, cuando muchos registradores tienen poco personal bien capacitado. Pero Vis dijo que el ataque contra E-HAWK se dirigió al ingeniero de soporte más importante de la compañía.

«Es por eso que la ingeniería social es algo tan complicado, porque al last todavía tienes una persona que tiene que tomar una decisión sobre algo y en algunos casos no toman la decisión correcta», dijo.

¿QUÉ PUEDES HACER?

Para recapitular, para la máxima seguridad en sus dominios, considere adoptar algunas o todas las siguientes mejores prácticas:

-Utilice funciones de registro como el bloqueo de registro que puede ayudar a proteger los registros de nombres de dominio de ser cambiados. Tenga en cuenta que esto puede aumentar la cantidad de tiempo que lleva avanzar para realizar cambios clave en el dominio bloqueado (como los cambios de DNS).

-Utilice DNSSEC (zonas de firma y validación de respuestas).

-Utilice listas de management de acceso para aplicaciones, tráfico de Internet y monitoreo.

-Utilice la autenticación de 2 factores y requiera que sea utilizada por todos los usuarios y subcontratistas relevantes.

-En casos donde se usan contraseñas, elija contraseñas únicas y considere administradores de contraseñas.

-Revise la seguridad de las cuentas existentes con los registradores y otros proveedores, y asegúrese de tener múltiples notificaciones cuando y si un dominio que posee está a punto de caducar.

-Monitorice la emisión de nuevos certificados SSL para sus dominios mediante el monitoreo, por ejemplo, Registros de transparencia de certificados.


Etiquetas: Arno Vis, CSC, DNSpionage, DNSSEC, E-HAWK, e-hawk.net, OpenProvider, PDR, Peter Cholnoky, Community Domain Registry, Raymond Dijkxhoorn, bloqueo de registro, bloqueo de registro, WhatsApp

Esta entrada fue publicada el viernes 24 de enero de 2020 a las 11:37 am y está archivada en Últimas advertencias, The Coming Storm, Net Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el last y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia unique