Posté le avril 5, 2020 à 18:02
DES HACKERS ONT RÉUSSI À TROMPER UN EMPLOYÉ DE GODADDY DANS UN EMAIL D’HAMEÇONNAGE
Des rapports récents ont révélé qu’un employé de GoDaddy a été victime d’une attaque de harponnement réussie qui a abouti à la violation du compte de sa société. La violation a permis à l’attaquant d’accéder à certains dossiers de clients. En conséquence, il y a eu une modification importante des paramètres des noms de domaine au sein du réseau.
La modification des paramètres inclut des serveurs de noms de domaine populaires tels qu’Escrow.com, qui est un service de courtage en ligne de différents types d’articles.
GoDaddy a en outre révélé que cette attaque a affecté 5 autres comptes de clients utilisateurs. Mais il n’a pas mentionné le nombre de domaines dans les comptes affectés.
Le compte Escrow.com a été attaqué le 31 mars lorsque les acteurs ont supprimé et remplacé les informations de la page d’accueil du site par un autre message. Les acteurs ont retiré le DNS du serveur légitime et l’ont remplacé par leur DNS malveillant.
Les chercheurs ont révélé que les acteurs utilisaient une adresse IP de Malaisie, ce qui pourrait indiquer l’emplacement des attaquants.
Selon Elliot Silver de DomainInvesting, l’équipe d’Escrow.com qu’il a contactée a immédiatement déclaré que la société enquêtait sur l’attaque, mais que les acteurs n’avaient compromis aucune donnée.
Plus tard le même jour, il a reçu une notification indiquant que le problème avait été réglé et résolu en quelques heures.
Le deuxième jour, le directeur général du site l’a informé de la déclaration officielle du directeur général de l’entreprise. Dans cette déclaration, il a révélé que les seuls domaines affectés sont ceux qui appartiennent à la société et sont gérés par elle.
La déclaration indique que toutes les données des clients sont intactes et non compromises. Cependant, le directeur général a également révélé ce que l’équipe de sécurité de la société a découvert au cours de son enquête.
Il a expliqué que l’équipe de sécurité avait contacté le hacker par téléphone pendant l’incident.
La conversation a duré plus d’une heure alors que le hacker essayait de récupérer l’accès au compte. Pendant l’appel téléphonique, l’équipe de sécurité a soutenu que le hacker avait un accès illégal au système de support interne du registraire.
C’est ainsi qu’ils ont réussi à avoir un point d’entrée et à infiltrer les systèmes. Les attaquants ont utilisé leur accès au système de support pour modifier le compte Escrow.com, selon l’équipe de sécurité.
Plus de détails sur l’attaque découverte
L’entreprise de cybersécurité, KrebsOnSecurity, a découvert qu’il y avait d’autres détails sur l’attaque contre un compte Escrow.com d’une autre entreprise de sécurité connue sous le nom de SecurityTrials. Selon son directeur général, « l’attaquant a également obtenu des certificats de cryptage gratuits pour Escrow.com auprès de Let’s Encrypt« .
De plus, lorsqu’il y a eu une vérification DNS inverse sur l’adresse IP du faux serveur, elle a révélé que l’adresse IP ne représente pas moins de 12 domaines. Parmi les dizaines de domaines, l’un d’entre eux était un domaine vieux de 12 jours qui comprenait le nom du registraire Escrow.com.
Lorsque l’entreprise de sécurité a visité l’adresse, elle contenait le même message que celui trouvé sur le domaine compromis d’Escrow.com, bien que l’adresse ne soit pas accessible pour le moment.
Mesures pour prévenir l’attaque
Les chercheurs en sécurité ont également noté que le plan derrière cette attaque est très sophistiqué et pourrait être hors de portée ou de contrôle de tout propriétaire de site web. Cependant, ils ont déclaré qu’il y a certaines mesures de sécurité à prendre qui peuvent contribuer grandement à prévenir une telle attaque.
Ils ont conseillé aux propriétaires de sites web d’utiliser la fonction de verrouillage, qui peut empêcher l’altération des enregistrements DNS.
Une autre façon de stopper ces attaques est l’utilisation d’une authentification à double facteur. Avec une seconde autorisation, il sera plus difficile pour quelqu’un d’accéder à votre site, car le hacker doit passer par un second protocole de sécurité.
L’effort en matière de sécurité n’est pas seulement laissé aux propriétaires de sites. L’équipe de recherche a déclaré que la majeure partie du travail de sécurité devrait être effectuée par GoDaddy. L’entreprise devrait intensifier ses efforts pour former ses employés à des mesures de sécurité efficaces. Les employés devraient apprendre comment éviter ces campagnes d’hameçonnage sophistiquées.
