Tippfehler und Doppelgänger-Domänen: Forscher sammlen 20 GByte Firmen-E-Mails

Kein Kommentar Autor: Jürgen (jdo)

Sicherheit Security TeaserIrren ist menschlich und Vertippen ebenso. Im Internet wird dieses Phänomen gerne für Domänen-Parking und Werbung angewendet. Wie zwei Sicherheits-Forscher von der Godai Group nun herausgefunden haben, lassen sich Vertipper auch gut nutzen, um Firmen-Geheimnisse zu ergattern – und das eigentlich irgendwie legal.

Ausgenutzt wird die ganze Sache durch Doppelgänger-Domänen. 151 der “Fortune 500”-Firmen sind laut der Forscher anfällig für diese Art von Angriff. Dazu gehören auch IT-Firmen wie Yahoo, Dell, Cisco, HP und IBM.

Das Problem ist, dass all diese Firmen Subdomänen für bestimmte Regionen benutzen. Diese sehen in der Regel so ähnlich aus: xx.example.org. Dabei ist das xx oftmals die Länderkennung – also de.example.org würde für Deutschland stehen.

Im Eifer des Gefechts vergessen Menschen anscheinend oftmals den ersten Punkt. Ein Problem würde das nicht darstellen, wenn die Domäne nicht in Benutzung wäre. Wenn nun aber jemand diese Domäne registriert, kann er die E-Mails mit den vertippten Adressen abfangen. Da die Nachricht ankommt, wird weder der Sender noch die Firma in Kenntnis über einen möglichen Fehler gesetzt.

Genau diese Methode haben die Forscher eingesetzt. Innerhalb sechs Monaten konnten sie laut Help Net Security 120.000 E-Mails sammeln. Das entspricht etwa 20 GByte an Datenmenge. Die Nachrichten enthalten Firmengeheimnisse, Netzwerk-Diagramme, Benutzernamen, Passwörter und so weiter.

Das ist aber nicht das Ende der Fahnenstange. Nun lässt sich der Angriff mit Man-in-the-MailBox (MITMB) ausweiten. Der Angreifer leitet die falsch geschickte E-Mail weiter an die richtige Adresse. Wer nun einfach auf Antworten klickt, sendet seine Nachricht ebenfalls wieder an den Mann in der Mitte. Wenn die kommunizierenden Personen ihren Fehler nicht bemerken, lässt sich das Spiel bis zum Ende der Konversation weitertreiben.

Die Forscher weisen darauf hin (PDF), dass solche Angriffe wohl schon eine Weile stattfinden. Es gibt bereits eine Anzahl an registrierten Doppelgänger-Domänen, die meist in CHina registriert wurden.

Die Sicherheits-Experten haben Doppelgänger-Domänen für 30 Firmen registriert. Lediglich eine davon hätte Wind davon bekommen und dementsprechend reagiert. Das Problem lässt sich nur vermeiden, wenn die Firmen selbst ihre Doppelgänger registrieren und sich somit schützen.

Firmen sollten außerdem überprüfen, ob irgendwer bereits eine Doppelgänger-Domäne registriert hat und sich an entsprechender Stelle beschweren. Administratoren sollten die internen DNS-Server so konfigurieren, dass Anwender gar keine E-Mails an die Doppelgänger senden können. Firmen sollten Nutzer auch auf das Problem hinweisen, um Fehler bei den Mail-Adressen zu vermeiden.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.