发生在我账户上的事任何账户都可能发生。
没有进行任何文件验证,陀利亚提交的身份证使用的图像与我完全不同。从社交工程到精心设计的社交媒体个人资料、假身份和电子邮件账户,这是一个从头到尾都有针对性的典型例子。
这样的帐户接管允许攻击者使用被劫持的域来创建代码签名证书。它可以用来模仿某人的个人品牌,并利用该品牌来锁定客户、粉丝或商业伙伴。
攻击者可以开发任意数量的域并使用它们进行水坑攻击,或者修改DNS并将访问者直接指向他们控制的服务器。
事实上,蜥蜴小队(Lizard Squad)和叙利亚电子军(Syrian Electronic Army)等组织很喜欢这种策略,他们针对托管账户的目标正是出于这些原因。
“如果(攻击者)想要圆滑一点,他们可以获得访问权限,插入代码,创建后门管理帐户,并在他们甚至不知道发生了什么之前将访问权限返回给原所有者。所有者会收到确认邮件,看到他们的网站仍然在线,就会认为这是钓鱼攻击,然后删除它,”特罗亚说。
GoDaddy并不是唯一一家将照片ID作为最后手段的主要域名注册商。Network Solutions也有一个基于id的验证,但与GoDaddy不同的是,身份证和所需的文件必须传真过来,而不是上传。有趣的是,一个域名注册商,Hover.com它不允许照片ID作为一种验证形式,因为“任何人都可以在Photoshop中快速做出一些东西。”
GoDaddy的域名控制和隐私功能是作为增值服务提供的,需要额外的费用,这只会降低攻击者的速度。虽然公众无法看到注册细节,但支持人员可以。因此,拥有公共信息的攻击者可能会滥用账户形式的变化。
Troia先生希望通过揭露他们安全模型的逻辑缺陷,GoDaddy将实施更严格的验证程序,但他承认这是一个矛盾的情况。一个有效的政府签发的身份证应该是一种可接受的验证形式,但这显然还不够。
双因素身份验证也不可行,他说,因为如果有人劫持了域名,并在事后启用了这种保护,那么客户将几乎没有重新获得该域名访问权的选项。
“事实是,如果我注册一个域名,我应该知道信用卡是用来支付什么的。就你的情况而言,域名是几天前注册的,所以我并不是没有记录。我可以拿出我的银行对账单,拿到最后四位数字,”他说。
“这种(账户形式的改变)可能是为了帮助客户在出现问题时访问他们的域名,但我们已经清楚地表明,目前没有足够的安全措施来保护客户的域名不被窃取。”
GoDaddy确实试图通过电子邮件联系我,并通知我注册的变化,包括Troia先生为最近购买的域名申请的新的DNS设置。
不幸的是,这封邮件是在他重置了账户密码很久之后才发出的。随后的邮件直到9个小时后才收到。如果这次袭击是真的,那就太晚了。发送GoDaddy警告的域与被攻击的帐户相同。
那么,消费者和组织可以做些什么来保护自己免受这类攻击呢?
“你能做的最好的事情是设置域名隐私,这使它更困难,因为我需要找到私人联系信息,这可以很容易地用DomainTools;然后通过DomainControl.com或任何一家保持域名私有的公司,”特罗亚先生解释道。
“做你应有的调查。如果您真的担心域的安全性(这是应该的),请了解注册公司有哪些安全协议。询问你的注册(或托管)公司,他们有什么安全措施,以防你的账户被劫持。你要怎么把它拿回来?黑客现在很常见,所以他们应该已经准备好了答案。”
当被问及对这篇报道的评论,以及对客户支持人员的限制和是否存在账户重置表单的一些尖锐问题的回答时,GoDaddy只回答了一句:
“GoDaddy有严格的流程和专门的团队,当客户要求更改帐户/电子邮件时,他们可以验证客户的身份。虽然我们的流程和团队在挫败非法请求方面非常有效,但没有一个系统是100%有效的。伪造政府颁发的身份证件是一种犯罪,即使得到了同意,我们也会非常认真地对待,并在适当的地方向执法部门报告。”
这个故事,“GoDaddy帐户易受社会工程和Photoshop的影响”最初是由方案 .