Twee beveiligingsonderzoekers hebben aangetoond wat de gevolgen kunnen zijn van typosquatting. In een half jaar tijd ontving het duo via valse domeinnamen meer dan 120.000 mailtjes met daarin wachtwoorden en andere gevoelige zaken.
Voor het onderzoek hebben de twee onderzoekers, Peter Kim en Garrett Gee, dertig domeinnamen geregistreerd. Deze domeinnamen kwamen overeen met subdomeinen op webistes van Fortune 500-bedrijven, waarbij de punt tussen het subdomein en hoofddomein achterwege werd gelaten. De onderzoekers hanteerden hiermee een praktijk die bekendstaat als typosquatting, waarbij domeinnamen worden geregistreerd die erg veel lijken op een legitieme domeinnaam, maar net anders zijn geschreven.
In een periode van zes maanden ontvingen de onderzoekers van de Godai Group ruim 120.000 mailtjes, die eigenlijk bedoeld waren voor een ontvanger bij het echte bedrijf. Voor het onderzoek, dat vorige week werd gepresenteerd, hebben Kim en Gee een lijst van 151 grote bedrijven opgesteld waarvan zij meenden dat de domeinnamen zich goed leenden voor typosquatting. Hoewel het duo de dertig bedrijven uit hun onderzoek niet heeft bekendgemaakt, staan er op de lijst grote namen als Dell, Microsoft, IBM Oracle en Nike.
De onderschepte mailtjes bevatten onder meer inlognamen, wachtwoorden en andere gevoelige informatie over de configuratie van bedrijfsnetwerken, evenals handelsgeheimen en juridische documenten. In totaal werd 20GB aan data binnengehaald.
‘The strategy works on the premise that a small number of emails intended for a company will have a to: address incorrectly typed, or the doppelganger domain can be used in social engineering exploits to dupe workers at a company into thinking that an email requesting sensitive information comes from someone within the company, so is therefore safe to provide. “Man-in-the-MailBox” is the term used to describe such exploiting of the natural trust and relation between certain people or organisations’, zo stelt Gee, oprichter van de Godai Group. ‘30% of Fortune 500 companies are vulnerable to Doppelganger Domains. Godai Group uncovered potential active doppelganger domains that may be targeting some of the world’s biggest brands’. En hij vervolgt: ‘Attackers are already taking advantage of this vulnerability and they can be harvesting sensitive information from your company already’.
Naast het verhogen van het bewustzijn van het risico van dit verschijnsel, bevat het rapport ook als aanbeveling ‘the registration of potential doppelganger domain names to ensure no-one else can use them for nefarious purposes’. Het rapport adviseert ook ‘to identify existing doppelganger domains and to take action through the Uniform Domain Name Dispute Resolution Policy (UDNRP), with view to having the registrants’ rights to the name revoked’.