Phish del empleado de GoDaddy puso en peligro Escrow.com, entre otros – Krebs on Protection


Un ataque de phishing esta semana enganchó a un empleado de servicio al cliente en GoDaddy.com, El registrador de nombres de dominio más grande del mundo, KrebsOnSecurity ha aprendido. El incidente le dio al phisher la capacidad de ver y modificar registros clave de clientes, acceso que se utilizó para cambiar la configuración de dominio de media docena de clientes de GoDaddy, incluido el sitio de corretaje de transacciones escrow.com.

Escrow.com ayuda a las personas a negociar con seguridad todo tipo de transacciones en línea (irónicamente, la intermediación de ventas de dominios es una gran parte de su negocio). Durante aproximadamente dos horas a partir de las 5 p.m. PT el lunes por la noche, el sitio website de Escrow.com parecía radicalmente diferente: su página de inicio fue reemplazada por un mensaje crudo en texto plano:

El mensaje imprudente dejado por quien secuestró brevemente los registros DNS de escrow.com. Imagen: Escrow.com

DomainInvesting.com Elliot Silver recogido en el cambio y recibí una declaración de Matt Barrie, el CEO de freelancer.com, propietaria de escrow.com.

«Durante el incidente, los piratas informáticos cambiaron los registros DNS de Escrow.com para apuntar a un servidor world-wide-web de terceros». Barre escribió, señalando que su equipo de seguridad logró hablar por teléfono con el hacker responsable del secuestro.

Barrie dijo que escrow.com compartirá más detalles sobre el incidente en los próximos días, pero enfatizó que no se comprometieron los sistemas de escrow.com y que no se comprometieron los datos, fondos o dominios de los clientes.

KrebsOnSecurity contactó a Barrie y escrow.com con algunas preguntas de seguimiento, e inmediatamente después de eso sonó. Chris Ueland, Director de Senderos de seguridad, una empresa que ayuda a los clientes a realizar un seguimiento de sus activos digitales.

Ueland dijo que después de escuchar sobre el hack de escrow.com el lunes por la noche, sacó los registros del sistema de nombres de dominio (DNS) de escrow.com y vio que apuntaban a una dirección de Net en Malasia 111.90.149 (.) 49 (ese dominio se colapsa aquí porque actualmente está marcado como anfitrión de un sitio de phishing). El atacante también obtuvo certificados de cifrado gratuitos para escrow.com desde Encriptemos.

La ejecución de una búsqueda DNS inversa en esta dirección 111.90.149 (.) 49 muestra que está vinculada a menos de una docena de dominios, incluido un dominio de 12 días que invoca el nombre del registrador de escrow.com: servicenow-godaddy (.) com. Efectivamente, cargar ese dominio en un navegador revela el mismo texto que apareció el lunes por la noche en escrow.com, menos la redacción anterior.

El mensaje en servicenow-godaddy (.) Com period idéntico al mostrado por escrow.com mientras se pirateaban los registros DNS del sitio.

Estaba empezando a parecer que alguien había sido robado. Luego, escuché de nuevo a Matt Barrie, quien dijo que no había nadie en escrow.com que fuera phishing. Barrie dijo que el pirata informático pudo leer los mensajes y las notas dejadas en la cuenta de escrow.com en GoDaddy que solo los empleados de GoDaddy deberían haber podido ver.

Barrie dijo que una de esas notas afirmaba que ciertos cambios clave para escrow.com solo podían hacerse después de llamar a un número de teléfono específico y recibir autorización verbal. Como sucedió, el atacante siguió adelante y llamó a ese número, evidentemente asumiendo que estaba llamando a alguien en GoDaddy.

De hecho, el nombre y el número pertenecían al gerente typical de escrow.com, que jugó durante más de una hora hablando con el atacante mientras grababa la llamada y le sacaba información.

«Este tipo tenía acceso a las notas y sabía el número al que llamar» para hacer cambios en la cuenta, dijo Barrie. «Literalmente estaba leyendo los tickets de las notas del panel de administración dentro de GoDaddy».

Una búsqueda de WHOIS en escrow.com el lunes por la noche a través de Home windows PowerShell integrado en Windows 10. Imagen: SecurityTrails

En una declaración compartida con KrebsOnSecurity, GoDaddy reconoció que el 30 de marzo la compañía fue alertada de un incidente de seguridad que involucraba el nombre de dominio de un cliente. Una investigación reveló que un empleado de GoDaddy había sido víctima de un ataque de phishing y que otras cinco cuentas de clientes se vieron «potencialmente» afectadas, aunque GoDaddy no dijo cuál o cuántos dominios podrían tener esas cuentas de clientes con GoDaddy.

«Nuestro equipo investigó y descubrió que una cuenta interna de empleados desencadenó el cambio», se lee en el comunicado. «Realizamos una auditoría exhaustiva de la cuenta de ese empleado y confirmamos que había otras cinco cuentas de clientes potencialmente afectadas».

La declaración continúa:

“Inmediatamente bloqueamos las cuentas afectadas involucradas en este incidente para evitar más cambios. Cualquier acción realizada por el actor de la amenaza ha sido revertida y los clientes afectados han sido notificados. El empleado involucrado en este incidente fue víctima de un ataque de pesca submarina o de ingeniería social. Hemos tomado medidas en nuestra tecnología, procesos y educación de los empleados, para ayudar a prevenir este tipo de ataques en el futuro «.

Hay muchas cosas que los propietarios de dominios pueden y deben hacer para minimizar las posibilidades de que los ladrones de dominios puedan arrebatar el handle sobre un dominio crítico para el negocio, pero gran parte de eso importa poco si alguien en su registrador de nombres de dominio es robado o pirateado.

Pero cada vez más, los atacantes inteligentes centran su atención en atacar a las personas en los registradores de dominio y a su individual de soporte. En enero, KrebsOnSecurity contó la desgarradora historia de e-hawk.web, un servicio de prevención y puntuación de fraude en línea que tenía su nombre de dominio transferido fraudulentamente a otro proveedor después de que alguien social diseñó un representante de servicio al cliente en el registro de e-hawk.

Los atacantes a nivel de estado nacional también están adoptando un enfoque similar. Una campaña masiva de espionaje cibernético dirigida a una gran cantidad de dominios para agencias gubernamentales en toda la región del Medio Oriente entre 2018 y 2019 fue precedida por una serie de ataques dirigidos contra registradores de dominios y empresas de infraestructura de Net que sirvieron a esos países.

Si bien es muy poco lo que puede hacer para evitar que su estafador sea engañado o engañado por los estafadores, existen varias precauciones que puede controlar. Para obtener la máxima seguridad en sus dominios, considere adoptar algunas o todas las siguientes mejores prácticas:

-Utilice la autenticación de 2 factores y requiera que sea utilizada por todos los usuarios y subcontratistas relevantes.

-En casos donde se usan contraseñas, elija contraseñas únicas y considere administradores de contraseñas.

-Revise la seguridad de las cuentas existentes con los registradores y otros proveedores, y asegúrese de tener múltiples notificaciones cuando y si un dominio que posee está a punto de caducar.

-Utilice funciones de registro como Registry Lock que pueden ayudar a proteger los registros de nombres de dominio para que no se modifiquen. Tenga en cuenta que esto puede aumentar la cantidad de tiempo que lleva avanzar para realizar cambios clave en el dominio bloqueado (como los cambios de DNS).

-Utilice DNSSEC (zonas de firma y validación de respuestas).

-Utilice listas de regulate de acceso para aplicaciones, tráfico de World wide web y monitoreo.

-Monitorice la emisión de nuevos certificados SSL para sus dominios mediante el monitoreo, por ejemplo, Registros de transparencia de certificados.


Etiquetas: Chris Ueland, escrow.com, godaddy.com, Permit&#39s Encrypt, Matt Barrie, SecurityTrails

Esta entrada fue publicada el martes 31 de marzo de 2020 a las 11:30 pm y está archivada bajo A Minor Sunshine, Latest Warnings, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first