Elgépelt webcímekkel loptak el fontos adatokat

A Godai Group két kutatója harminc különböző olyan webcímet regisztrált, amely valamelyik Fortune 500-as, (a legjelentősebb amerikai cégek) vállalat nevét tartalmazta. A kutatók nem a szándékos elgépelést tartalmazó domainekre (például origo.hu helyett oriog.hu) utaztak, hanem az aldomainekkel (például techbazis.origo.hu helyett techbazisorigo.hu) trükköztek. Például a valós szervezeti egység honlapját tartalmazó se.ibm.com cím mintájára létrehozták a seibm.com címet, és vártak arra, hogy az óvatlan alkalmazottak egy-egy üzenetükben elgépeljék az e-mail címet. A csapat által hasonmás (doppelganger) domaineknek nevezett webcímek remekül működtek: fél év alatt több mint húsz gigabájtnyi adat érkezett rájuk.

"A húsz gigabájt hatalmas mennyiség hat hónap semmittevésért cserébe" - nyilatkozta Peter Kim, a Godai Group egyik kutatója. Kim arra is felhívta a figyelmet, hogy a támadás anélkül történt, hogy bármelyik érintett tudomást szerzett volna róla. A lemásolt webcímeken nem feltétlenül kell weboldalt üzemeltetni, elég ha egy levelezőszerver van mögöttük, így még akkor sem tűnik fel a rosszul címzett e-maileket gyűjtő szerver, ha valaki begépeli az eredetire hasonlító címet a böngésző címsorába, ott ugyanis hibaüzenet fogadja majd.

Egy-egy elgépelésen múlik a céges titkok sorsa

A kutatás tanúsága szerint az ötszázas toplista harminc százaléka, több mint százötven cég volt sebezhető ezzel a támadással az élelmiszer-ipari vállalatoktól a technológiai óriásokig. Az elfogott levelek a legváltozatosabb információkat tartalmazták: a cég alkalmazottainak felhasználóneveit és jelszavait, biztonsági beállításokról és a hálózat felépítéséről szóló információkat, jogi iratokat és üzleti titoknak számító szerződéseket.

Jelszavak és biztonsági leírások is jöttek a hamis címekre

A csapat legjobb fogása egy olyan levél volt, amely egy nagy informatikai tanácsadó cég routereinek címét, jelszavát és beállításának leírását tartalmazta. Hasonló titkokat tartalmazott az az e-mail, amely egy Amerikán kívül működő útdíjbeszedő rendszerbe engedte volna be a kutatókat. Az üzleti titkok mellett az alkalmazottak személyes adatának garmadát is be lehetett gyűjteni a levelekből.

Harmincból csak egy cég vette észre, hogy támadás alatt áll

Nyugtalanító tanulság az is, hogy a hasonmás domainek egy részét nem tudták megvásárolni a kutatók, mert már regisztrálva voltak. Számos ilyen elgépelt cím tulajdonosa Kínában található. A kutatók szerint elképzelhető, hogy a módszert élesben használják a nagyvállalatok ellen. A kutatók szerint a passzív módszerből könnyen aktív támadást is lehet csinálni.

A cégek nagy része védekezik az elgépelt domaines támadások ellen. Rendszerint felvásárolják a honlapjuk címének hibás verzióit. Az aldomainekkel azonban nem szoktak ilyen óvatosak lenni. Peter Kim elmondta, hogy a fél éves vizsgálat során csupán egy cég vette észre a kutatók akcióját, és fenyegette perrel a csapatot. A 120 ezer félrecímzett e-mail feladói közül pedig csupán kettőnek tűnt fel, hogy nem a megfelelő helyre küldte üzenetét.