Netværksløsninger Phishing kom før webangreb

Grafisk: Diego AguirreA phishing-kampagnen i slutningen af ​​oktober kan have givet onlinekriminelle de oplysninger, de havde brug for for at få kontrol over betalingsprocessoren CheckFree's internetdomæne i denne uge.

Om morgenen den 2. december logger angribere ind på CheckFree's domænenavnsregistreringskonto hos Network Solutions og omdirigeret internettrafik væk fra CheckFree's systemer til en skurk server placeret i Ukraine. Under en hændelse, der varede lige under fem timer, blev CheckFree-kunder, der forsøgte at oprette forbindelse til virksomhedens websted, angrebet med kode, der udnyttede en fejl i Adobes Reader-software.

Men sikkerhedseksperter sagde torsdag, at grunden til dette angreb kunne have været lagt i slutningen af ​​oktober, da Network Solutions-kunderne var målrettet mod et phishing-angreb.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

I dette angreb blev kunderne fra Network Solutions sendt til en e-mail udformet til ser ud som om det stammer fra domænenavnregistratoren og beder dem om at indtaste deres kontooplysninger på et websted kontrolleret af de kriminelle. Når disse angreb er rettet mod en lille men omhyggeligt målrettet gruppe ofre, kaldes de "spyd phishing" i sikkerhedsbranchen.

Netværksløsninger var en af ​​mindst to domænenavnregistratorer, der var målrettet mod dette angreb, sagde Susan Wade, en netværksløsnings talskvinde. Ingen ved, hvordan CheckFree-hackerne har fået adgang til domænenavnskontoen, men de indtastede den korrekte adgangskode ved deres første forsøg, sagde hun.

Formand for anti-phishing-arbejdsgruppe Dave Jevans mener, at phishing-angrebet i oktober måtte have været skyld.

"Det er perfekt spydsfishing", sagde han og bemærkede, at angribere kan nå et helt fællesskab af brugere, som de gjorde med CheckFree-angrebet, ved at kapre kun et domænenavn.

Domænenavnet phishing-angreb kan være meget effektiv, fordi hvis kun ét offer overleverer loginoplysninger til et populært domæne, kan tusindvis af web surfere blive angrebet. For at gøre sager værre, er folk, der ejer domænenavne vant til at modtage regelmæssig e-mail fra registrarer som netværksløsninger, der beder dem om at indtaste kontooplysninger. Det skyldes, at gruppen, der styrer internetdomænenavne, ICANN (Internet Corporation for Assigned Names and Numbers), kræver, at disse oplysninger revideres årligt.

Der var flere variationer i Network Solutions-svindel. I en blev kunder fortalt, at deres domænenavne var udløbet, og at de var berettiget til at modtage penge genereret fra salg af domænet til en anden.

Dette var ikke første gang Network Solutions er blevet målrettet af phishers, sagde Wade. Virksomheden har taget sikkerhedsforanstaltninger siden angrebet, men hun ville ikke beskrive dem for frygt for at hjælpe andre forbrydere.

"Vi kunne arbejde ganske hurtigt for at lukke [phishing] -webstederne og give kunderne besked" sagde.