GoDaddy是一家提供域名注册和互联网主机服务的美国公司,服务产品涉及域名主机领域基础业务。
其中比较著名的便是GoDaddy的隐私保护服务,分为普通版和专业版,声称无人可以得知真实注册信息。
然而,这么家全球最大的域名注册商的一名客服员工却遭到了钓鱼攻击,这使得攻击者能够查看和修改关键客户记录,并更改了六个GoDaddy客户的域名解析IP。
其中一个被改的客户是Escrow.com ,一家帮助人们安全地在线进行各种交易的代理网站(讽刺的是,代理域名销售是其业务的重要组成部分)。从星期一晚上5:00 开始大约两个小时,Escrow.com的网站看起来完全不同:其首页被纯文本形式的粗略消息取代:
从星期一晚上5点开始大约两个小时,Escrow.com的网站首页被纯文本形式的消息取代
通过查看escrow.com的域名系统(DNS)记录,可以看到它们指向的是马来西亚的Internet地址-111.90.149.49
攻击者还从Let"s Encrypt 获得了escrow.com的免费加密证书。题外话,Let"s Encrypt证书已经被黑客用的极度泛滥了。
此外,IP被解析到servicenow-godaddy.com域名
目前还能访问,用中文翻译结果如下,意义不明
最后,充分说明了,员工的安全意识不够,或者说内部出现了内鬼,企业拥有多好的网络安全防御都白搭。
此外,买域名之后,由于这类事故通常是域名提供商的问题,因此可以多对域名做监控,比如监控域名的解析IP,如果发生变化则发警报之类的。再一个可以监控域名SSL证书是否短期发生变更等等。
毕竟此前就发生过,某公司域名深夜被重定向到菠菜网站,网管习惯性睡觉关机,醒来之后收到解雇的消息。
参考链接:
https://krebsonsecurity.com/2020/03/phish-of-godaddy-employee-jeopardized-escrow-com-among-others/
信息来自互联网,侵权删除。
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。