Доступ к аккаунту GoDaddy удалось получить с помощью фотошопа
Недавно была опубликована статья, о том, как удалось обойти многоуровневую систему защиты крупнейшего регистратора GoDaddy при помощи фотошопа.Автор статьи Стив Рейган провел эксперимент: он попросил знакомого специалиста по безопасности Винни Троя, директора Night Lion Security, взломать его аккаунт. Взлом оказался успешным, и все, что для этого понадобилось — звонок в техподдержку и несколько часов работы в фотошопе.
Процедура восстановления оказалась легкой. Разговор с девушкой из техподдержки начался с подтверждения личных данных, легко доступных через Whois. Когда понадобился адрес электронной почты, на который был зарегистрирован домен и который Троя не знал, он вошел в роль расстроенного подчиненного, которому не дали полной информации, и о сложных правилах внутри организации. Шум играющей дочери во время разговора также создал подходящую атмосферу для того, чтобы подавить на жалость оператору техподдержки.
Люди — самое уязвимое звено в любой системе защиты. Это касается и операторов техподдержки. Их задача состоит только в том, чтобы помогать клиентам и облегчать решение их проблем. Высказывать клиентам подозрения и обвинять их — не входит в их обязанности. В большинстве организаций оператор просто не имеет права отказать клиенту, исходя лишь из своих подозрений.Эту особенность работы операторов часто используют мошенники.
Далее оператор попросила Троя назвать пин-код и последние цифры кредитной карты, с которой был приобретен домен. Тот ответил, что не знает ни того ни другого, так как домен за него регистрировал помощник. «Я извиняюсь, и за то, что не могу представить вам нужной информации, и за то, что моя дочь все время шумит», — сказал он.
После этого она направила Троя на страницу, через которую владелец домена может восстановить свои права на него, представив фото документа, удостоверяющего личность.
Около четырех часов понадобилось взломщику на то, чтобы подделать водительское удостоверение на имя Стива Рейгана. Также он создал адрес электронной почты Gmail и аккаунт в Google+ на его имя. Этого было сделано для того, чтобы создать иллюзию присутствия Троя в сети как Стива Рейгана.
Оператора удовлетоврили полученные данные. Соответствие фотографии в «удостоверении», сделанном в фотошопе реальной фотографии Рейгана никто проверять не стал. Не было и никаких других проверок личности заявителя.
Последним ее вопросом были данные о юридическом лице, на которое были зарегистрированы домены. Троя также честно ответил, что у него нет информации об этом. На что она сама пошла навстречу взломщику, сказав, что это обычное дело, и многие регистрируют домены на несуществующие фирмы.
После этого аккаунт был перерегистрирован на почтовый адрес Троя, и тот получил к нему полный доступ. Операция завершена успешно.
Стоит отметить и то, что Стив Рейган получил уведомление о смене данных аккаунта не сразу, а только через несколько дней. Если бы взлом был настоящим, вернуть домены, скорее всего, было бы невозможно: их бы уже продали или перевели к другому регистратору.
Функция восстановления доступа через фото документа ненадежна, и многие регистраторы не пользуются ей как раз потому, что каждый может нарисовать что угодно в фотошопе. Однако у крупнейшего регистратора в мире GoDaddy она есть. Эта возможность была введена для того, чтобы пользователи могли восстановить права на домены, зарегистрированные много лет назад. Пользователи часто не помнят номера старых кредитных карт и другие данные.
Однако риск взлома аккаунтов GoDaddy с ее помощью очень высок, и регистратору стоит изменить эту процедуру. Интересно, что, например, Network Solutions также восстанавливает права на домены через личные документы, только их необходимо передавать по факсу, а не загружать фото с компьютера.
Стив Рейган сообщил, что статья была написана для того, чтобы выявить проблему, которая может стать причиной похищения множества доменов. Для защиты своих доменов он рекомендует пользоваться всеми дополнительными услугами, которые предлагает регистратор, и заранее интересоваться тем, что можно будет сделать в случае похищения домена.