Aningslösa webbplatsbesökare är ofta inte medvetna om att de har hamnat på en förfalskad sida eller omdirigerats till en webbserver med skadeprogram avsedda att stjäla deras känsliga data och uppgifter. Attacker av den här sorten kallas kapning av subdomän eller övertagande av subdomän. Cyberbrottslingar gör sedan en vinst genom att köpa och sälja webbanvändarens personuppgifter på darknet, vilket leder till fler och fler identitetsstölder i världen online.
I ett utrymme som ofta är i anonymitet kanske de utsatta varumärkena och organisationerna inte komprometteras direkt, men vilket kan leda till att de har glömt kvarlämnade eller felkonfigurerade DNS-poster, som i sin tur utgör en stöldrisk för deras kunder. Detta kallades förr för ”lam delegering” (lame delegation) eller “dangling DNS”. Cyberbrottslingar söker igenom internet efter offentligt tillgänglig information, inklusive DNS-zonposter, som pekar mot destinationer som inte längre används av ett varumärke. Genom att placera innehåll hos leverantörer av molntjänster som inte gör verifieringskontroller kan brottslingar begära en tidigare använd zondestination och återigen börja få webbanvändare att landa på dessa subdomäner som är laddade med deras egna olagliga innehåll, allt utan att behöva infiltrera en organisations infrastruktur eller en tredje parts servicekonto. Utöver anseendeskador och förlorat konsumentförtroende kan de falska webbsidorna och de relaterade e-postadresserna användas i phishingkampanjer och för spridning av skadeprogram, vilket leder till fler skadliga data och säkerhetsintrång.
Vad innebär kapning av en subdomän?
Kapning av en subdomän är ett cyberhot där en angripare får kontroll över en legitim subdomän som inte längre används av värden och istället använder den för sitt eget vilseledande eller skadliga innehåll. Det kan de göra genom att på ett smart sätt utnyttja bortglömda DNS-poster och dirigera om dem till sitt eget innehåll.
Ett resultat av dåligt underhåll
Kapning av subdomäner är ett resultat av dåligt underhåll eller dålig hantering av DNS-posters livscykel. Underhåll av DNS-poster är en av de sämst skötta uppgifterna i branschen p.g.a. en mer än 20 år lång historik av olika ägare, policyer och leverantörer.
Företag tar snabbt ner en webbplats hos en betald leverantör av värdtjänster när ett varumärke dras tillbaka eller en kampanj har avslutats, men ibland lämnas de förknippade DNS-posterna intakta. Efter hand som tiden går ökar antalet DNS-poster som inte hanteras. Administratörer som inte känner till deras historia tvekar att radera dessa äldre poster av rädsla för att de kan vara kopplade till kritisk infrastruktur som oavsiktligt kommer att stänga ner verksamheten.
En av fem DNS-poster pekar mot innehåll som inte leder någonstans
I vår senaste rapport analyserade vi mer än sex miljoner DNS-poster i vår databas och filtrerade ner det till lite över 440 000 DNS-poster genom att titta på A-poster och CNAME-poster som pekar mot en molninfrastruktur med potential för kapning av subdomäner. Vi fann att många företag är mottagliga för kapning av subdomäner.
Läs mer: Rapport om sårbarhet för kapning av underdomäner
Upprätthållande av cyberhygien
Organisationer kanske har decentraliserad hantering, personalomsättning och omfattande nättillgångar. Utan ordentlig översikt av digitala poster och digital administration samlar organisationer på sig ”brus” som gör det svårare för dem att upprätthålla god cyberhygien, vilket innebär att de lätt kan utnyttjas av cyberbrottslingar.
På CSC inser vi att dessa utmaningar existerar och det hot som kapning av en subdomän utgör för företag. Dessutom är kapning av subdomäner ett av många hot som idag finns mot domänskyddet, inklusive kapning av domäner och DNS-poster, domänskuggning och cacheförgiftning. De här hoten används ofta för att möjliggöra ännu allvarligare phishing- och ransomware-attacker, tillsammans med e-mailintrång (BEC), e-mailspoofing och till och med dataintrång.
Vi rekommenderar varje företag att anta en lösning för bevakning av subdomäner som inte bara varnar när ändringar i DNS-poster upptäcks utan också anger sammanhanget så att du kan fatta välinformerade beslut och vidta lämpliga åtgärder för att förhindra kapning av subdomäner.
Kontakta oss för att ta reda på mer om våra lösningar för bevakning av underdomäner. >>
