域名注册商GoDaddy客服被钓鱼攻击,多家公司域名解析被篡改

iso60001  95天前

GoDaddy是一家提供域名注册和互联网主机服务的美国公司,服务产品涉及域名主机领域基础业务。

其中比较著名的便是GoDaddy的隐私保护服务,分为普通版和专业版,声称无人可以得知真实注册信息。


22.png

然而,这么家全球最大的域名注册商的一名客服员工却遭到了钓鱼攻击,这使得攻击者能够查看和修改关键客户记录,并更改了六个GoDaddy客户的域名解析IP。

其中一个被改的客户是Escrow.com ,一家帮助人们安全地在线进行各种交易的代理网站(讽刺的是,代理域名销售是其业务的重要组成部分)。从星期一晚上5:00 开始大约两个小时,Escrow.com的网站看起来完全不同:其首页被纯文本形式的粗略消息取代:


33.png

从星期一晚上5点开始大约两个小时,Escrow.com的网站首页被纯文本形式的消息取代


44.png

通过查看escrow.com的域名系统(DNS)记录,可以看到它们指向的是马来西亚的Internet地址-111.90.149.49

攻击者还从Let's Encrypt 获得了escrow.com的免费加密证书。题外话,Let's Encrypt证书已经被黑客用的极度泛滥了。

此外,IP被解析到servicenow-godaddy.com域名


55.png

目前还能访问,用中文翻译结果如下,意义不明


66.png

最后,充分说明了,员工的安全意识不够,或者说内部出现了内鬼,企业拥有多好的网络安全防御都白搭。

此外,买域名之后,由于这类事故通常是域名提供商的问题,因此可以多对域名做监控,比如监控域名的解析IP,如果发生变化则发警报之类的。再一个可以监控域名SSL证书是否短期发生变更等等。

毕竟此前就发生过,某公司域名深夜被重定向到菠菜网站,网管习惯性睡觉关机,醒来之后收到解雇的消息。


◆来源:黑鸟

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋 指尖安全

nosec.org All Rights Reserved 京ICP备15042518号