Bedrijfsmail gekaapt door tikfout in adres
Gepubliceerd: Maandag 12 september 2011
Auteur: Laura Liebregt
Twee onderzoekers hebben voor 20GB aan e-mail onderschept, met ook gevoelige bedrijfsgegevens. Hun methode: dubbelgangers van domeinnamen creëren.
In zes maanden tijd wisten onderzoekers Peter Kim en Garrett Gee van het bedrijf Godai Group, 120.000 e-mails te onderscheppen door 30 domeinen op te zetten met namen die veel lijken op bestaande domeinnamen van grote Amerikaanse bedrijven. "Twintig gigabyte aan data is veel data voor zes maanden praktisch niks doen", aldus Kim.
Interne mails opvangen
Het onderzoek (pdf) laat zien dat typefouten in e-mailadressen ervoor zorgen dat de mails niet bij het bedoelde adres aankomen, maar bij een domeinnaam dat daar veel op lijkt. Op de zogenaamde typefout-domeinen hebben de onderzoekers mailservers opgesteld om de verkeerde geaddresseerde mails op te vangen. De onderschepte berichten bevatten veel gevoelige gegevens zoals gebruikersnamen, wachtwoorden en informatie over interne processen en systemen.
Dubbelganger-domeinnamen zijn bijna hetzelfde gespeld als de echte domeinnamen, maar missen bijvoorbeeld een punt of bevatten een extra letter. De onderzoekers hoefden dus alleen deze domeinnamen te creëren en er mailservers op te zetten om bedrijfsmails te kunnen onderscheppen. E-mails die met een tikfout in het adres zijn verzonden, blijken zo door buitenstaanders te lezen.
Ook hele correspondentie
Een variant op deze methode, die nog verder gaat, is het aanmaken van dubbelgangers voor beide e-maildomeinen (van de zender én de ontvanger). De mail die gestuurd is, wordt onderschept en via een script naar het eigenlijk bedoelde adres gestuurd. Replies volgen dan eenzelfde route terug. Zo kan een correspondentie volledig worden 'afgeluisterd'.
Bedrijven met afdelingen in meerdere landen en die voor elke afdeling een andere domeinnaam gebruiken, lopen volgens Kim en Gee veel risico. Een typefout wordt dan namelijk eerder gemaakt. De veelvoud aan domeinnamen van een multinational zorgt voor verwarring.
Het geheel is een tamelijk passief proces; het is een kwestie van wachten totdat iemand zo'n fout maakt. Sommige bedrijven beschermen zichzelf door zélf dit soort dubbelganger-domeinnamen op te kopen. Het viel de onderzoekers echter op dat veel grote bedrijven dit niet doen.
Nauwelijks opgemerkt
Volgens onderzoeker Kim heeft slechts één bedrijf, waarvan geen naam is prijsgegeven, gezien dat er iets mis was. Die firma dreigde direct met een rechtszaak als de typefout-domeinnaam niet werd afgestaan. De onderzoekers hebben de domeinnaam direct gegeven.
Slechts twee afzenders van de onderschepte e-mails zeiden achteraf gemerkt te hebben dat ze een fout e-mailadres hadden ingetypt. Eén van hen stuurde een mail met een vraagteken erin, waarschijnlijk om te kijken of de mail bezorgd zou worden of zou terugkomen. De ander stuurde een mail met de vraag waar zijn eerder gestuurde mail terecht was gekomen.
Chinese domeinnamensoep
De onderzoekers zijn er ook achtergekomen dat een aantal dubbelganger-domeinnamen al zijn geregistreerd door andere buitenstaanders. Dat zijn Chinese instanties die volgens de twee al eerder met e-mailadressen hebben gerommeld. Het gaat om domeinnamen van onder andere Cisco, Dell, HP, IBM, Intel, Yahoo en Manpower.
Het is volgens onderzoekers Kim en Gee goed mogelijk dat er op deze wijze al langer gevoelige bedrijfsinformatie wordt onderschept. Bedrijfsspionage is dan een passieve activiteit, die dus nauwelijks opvalt.
