GoDaddy блокира 15 000 измамни поддомейни

Регистраторът и уеб домакинът GoDaddy http://godaddy.com е затворил около 15 000 поддомейна, които са били злоупотребявани от измамници, за да пускат на пазара съмнителни чудодейни хапчета, вариращи от диета до допинг вещества. [. ]

Очевидно престъпниците са откраднали пълномощията на легитимни клиенти и са създали страници, които след това са били използвани в спам кампании с милиони имейли за боклук. Мрежата откри блока 42 часа на специалиста по сигурността Palo Alto Networks.

godaddy

Голяма мрежа за измами

Изследователят на блок 42 Джеф Уайт открива измамни домейни, докато разследва мащабна кампания за нежелана поща от измамни търговски партньори. Имейлите за боклук доведоха до поразително подобни сайтове, които всъщност рекламират напълно различни продукти като хапчета за отслабване, усилватели на мозъка и допинг агенти. По-конкретно, фиктивни препоръки на знаменитости от известни личности като Стивън Хокинг, Дженифър Лопес или Гуен Стефани са използвани като тактика за продажби. Целта: Жертвите трябва да бъдат подмамени неволно да се запишат за скъпи, безсмислени абонаменти.

В този случай обаче измамниците не просто залагат директно на домейни за еднократна употреба. „Когато започнах да правя изследвания, бързо попаднах на стотици домейни, много от които изглеждаха компрометирани и всъщност не са предназначени за спам“, обяснява Уайт. Действително законните поддомейни, хоствани в GoDaddy, бяха видимо използвани за пренасочвания. Хората, които стоят зад кампанията за измама, очевидно са работили с откраднати данни за достъп, които или са получили чрез фишинг, или са намерили чрез така нареченото „пълнене на идентификационни данни“.

Унифицирана парола, лесна за злоупотреба

С пълнене на идентификационни данни престъпниците се опитват да видят дали откраднатите данни за достъп от определени потребители на една страница работят и на други уебсайтове, които използват. В крайна сметка има много хора, които използват една и съща парола за различни услуги. С това всички акаунти след това могат да бъдат злоупотребявани - а вероятно и поддомейн GoDaddy, управляван с тези данни за достъп. Не е ясно обаче в каква част от сайтовете за измами престъпниците действително са използвали тази тактика.

Във всеки случай, според Раздел 42, GoDaddy изключи около 15 000 засегнати поддомейни през март тази година и помоли легитимните собственици на съответните акаунти да нулират своите пароли. За потребителите, които са попаднали в кампанията за спам, това разбира се е малко полезно; те трябва да се справят със спирането на абонаментните си плащания. За да предотврати това да се случи на потребителите (отново), Уайт се позовава на старо правило, свързано със съмнителни имейли за чудодейните хапчета: „Ако звучи твърде добре, за да е истина, вероятно е и така.“