Spüren Sie Expired Domains auf, bevor Hacker es tun!

Was geschieht, wenn die Domain Ihres Unternehmens abläuft oder sich ändert? Expired Domains verschwinden nicht einfach, und können sogar eine Angriffsmöglichkeit auf Ihre Organisation darstellen. Jüngsten Meldungen aus Belgien zufolge besteht die Gefahr, dass Hunderte von Expired Domains und E-Mail-Adressen von Regierungsstellen online zum Kauf angeboten werden.

Inti De Ceukelaire, ein ethischer Hacker, hat eine umfangreiche Analyse zum Thema Datenschutz durchgeführt und ist dabei auf einige beunruhigende Ergebnisse gestoßen. Es gelang ihm, 107 Expired Domains von Behörden für die geringe Summe von jeweils 8 € zu kaufen. Diese Domains stammten von Polizeirevieren, Krankenhäusern sowie sozialen und juristischen Regierungsstellen. Diese wiederum verschafften ihm Zugang zu 848 offiziellen E-Mail-Adressen und Hunderten von zugehörigen Cloud-Speicher-Konten.

Die Gefahr, die von einem Missbrauch von Expired Domains ausgeht, betrifft nicht nur Organisationen aus Belgien, sondern auch darüber hinaus. Im Folgenden gehen wir darauf ein, warum alle Organisationen auf ihre Expired Domains achten sollten und wie Sie als Sicherheitsverantwortlicher das Problem in Zukunft im Auge behalten können.

Warum stellen Expired Domains eine Gefahr für die IT-Sicherheit dar?

Domänennamen identifizieren Organisationen oder Einzelpersonen online. ‚Outpost24‘ ist zum Beispiel der Top-Level-Domainname, den wir für unsere Website verwenden. Domänennamen sind jedoch nicht ewig gültig. Organisationen mieten die Nutzung dieser Namen im Wesentlichen und müssen in regelmäßigen Abständen dafür bezahlen. Manchmal werden ganz neue Domänennamen benötigt, z. B. wenn eine Organisation ihren Namen nach einer Umfirmierung oder Fusion ändert oder nach einem Konkurs oder einer Schließung ganz aufhört zu existieren.

Was passiert in diesen Fällen mit dem alten Domänennamen? Er hört nicht auf zu existieren – er wird wieder auf den Markt gebracht und kann von jedermann gekauft werden. Dies birgt Risiken, was Inti De Ceukelaire bewiesen hat, indem er sich Zugang zu den persönlichen Daten in Hunderten von E-Mail-Konten verschaffte, die mit der 107 abgelaufenen Domäne verbunden waren, die er gekauft hatte. Er war auch in der Lage, E-Mails zum Zurücksetzen von Passwörtern auszulösen und über die E-Mail-Adressen auf die zugehörigen Cloud-Speicherdienste wie Dropbox, Google Drive und OneDrive zuzugreifen. In diesen Konten befanden sich weitere vertrauliche Informationen.

Expired Domains sind ein relativ einfacher Angriffsweg für Hacker. Zunächst suchen sie nach Organisationen, die ihren Namen geändert haben (online nicht schwer zu finden), und suchen nach den ehemaligen Domänen. Oftmals kann man nach einiger Zeit die alten Domains für einen geringen Preis erwerben und dann weiter nachforschen, um zu sehen, ob die E-Mail-Adressen und die zugehörigen Cloud-Speicherkonten noch verbunden sind. Angesichts eines sehr geringen Kaufpreises pro Domain lohnt es sich für Angreifer, ein wenig herumzuprobieren, um möglicherweise an wertvolle Datensätze zu gelangen.

Wegen solcher Gefahren ist es wichtig, dass Sie Ihre Expired Domains und ablaufenden Domains im Auge behalten.

Wie kann Sweepatic von Outpost24 hier Abhilfe schaffen?

Sweepatic ist unsere EASM-Lösung (External Attack Surface Management), mit der Sie herausfinden können, ob Expired Domains von Ihrer Organisation zum Kauf angeboten werden können. Darüber hinaus erhalten Sie auch einen Überblick über Domains, die demnächst auslaufen und können so herausfinden, welche Domains für einen möglichen Angriff anfällig sind. So können Sie rechtzeitig eingreifen, um Angriffspunkte zu beseitigen.

Alle Primary Domains oder Top-Level-Domains innerhalb der Sweepatic Analyse Ihrer Organisation werden mit „WHOIS“-Daten angereichert. Das bedeutet, dass wir den Benutzern zwei Möglichkeiten bieten, den Status ihrer Domains zu überprüfen, einschließlich (aber nicht beschränkt auf) das Ablaufen von Domains. Im Folgenden stellen wir Ihnen beide Möglichkeiten vor. Falls Sie bereits Kunde sind, können Sie diese Funktionen unverzüglich nutzen (falls Sie dies nicht bereits tun).

Sie nutzen noch nicht Sweepatic EASM, sind aber daran interessiert zu erfahren, wie EASM in Ihre Cybersecurity Strategie passen könnte? Dann wenden Sie sich noch heute an einen unserer Experten!

1. Tracker-Suche

Eine neue Rubrik mit dem Namen ‚EPP-Status‘ ist jetzt innerhalb der Sweepatic-Plattform verfügbar. EPP (Extensible Provisioning Protocol) Domain Status Codes zeigen den Status einer Domainregistrierung an. Diese Codes können Informationen über den Status, Domain Protection Level und das Ablaufdatum der Domain liefern. Sie können entweder von der Registrierstelle (Client-Statuscodes) oder von der Registrierungsstelle (Server-Statuscodes) festgelegt werden.

Beispiele für diese Codes sind „addPeriod“ (eine Gnadenfrist nach der Erstregistrierung), „autoRenewPeriod“ (eine Gnadenfrist nach Ablauf des Registrierungszeitraums eines Domänennamens), „OK“ (Standardstatus ohne Sperrungen oder Einschränkungen) und „serverTransferProhibited“ (verhindert die Übertragung der Domäne an eine andere Registrierstelle).

Hier können Sie in Sweepatic EASM den EPP-Status abrufen.

Die so erzeugten Ergebnisse werden in die folgenden Kategorien eingeteilt:

  • Empty: Der EPP-Status der Domain ist leer oder unbekannt.
  • Pending delete w/ redemption period: Der EPP-Status zeigt an, dass die Domäne nach einer bestimmten Frist zur Löschung ansteht.
  • Pending delete: Der EPP-Status zeigt an, dass die Domäne zur Löschung ansteht.
  • Pending create: Der EPP-Status zeigt an, dass die Domäne zur Erstellung ansteht.
  • Pending restore: Der EPP-Status zeigt an, dass die Domäne zur Wiederherstellung ansteht.
  • Pending renew: Der EPP-Status zeigt an, dass die Domäne zur Erneuerung ansteht.
  • Pending transfer: Der EPP-Status zeigt an, dass die Domäne zur Übertragung ansteht.
  • All actions prohibited: Der EPP-Status verbietet alle Client-Aktionen. Dies entspricht Best Practices.
  • 0/4 actions prohibited: Der EPP-Status verbietet keine Client-Aktionen. Erwägen Sie zumindest das Verbot von Client-Transfers.
  • 1/4 actions prohibited: Der EPP-Status verbietet einige Client-Aktionen. Erwägen Sie auch, Client-Transfers zu verbieten.
  • 2/4 actions prohibited: Der EPP-Status verbietet einige Client-Aktionen. Erwägen Sie auch, Client-Transfers zu verbieten.
  • 3/4 actions prohibited: Der EPP-Status verbietet einige Client-Aktionen. Erwägen Sie auch, Client-Transfers zu verbieten.
  • Client-Transfer prohibited: Der EPP-Status verbietet Client-Transfers. Dies ist auch Best-Practice. Idealerweise sollten Sie alle Client-Aktionen verbieten.

Bitte beachten Sie, dass der Status „empty“ eine „?“-Bewertung erzeugt und nicht zu Ihrer allgemeinen Bewertung Ihrer Angriffsfläche beiträgt. Für alle anderen Beobachtungen werden die Punktzahlen entsprechend angepasst. Der bedeutendste EPP-Status, der vorhanden sein sollte, ist „clientTransferProhibited“. Ist dieser Status in den Ergebnissen flächendeckend vorhanden, erhält die jeweilige Beobachtung eine B-Note. Wenn alle empfohlenen EPP-Statuseinträge vorhanden sind (clientDeleteProhibited, clientRenewProhibited, clientTransferProhibited und clientUpdateprohibited), erhält dieses Ergebniss die Note A. Auf der Registerkarte „Metadata“ der Ergebnisse ist ersichtlich, welcher EPP-Status vorhanden ist und welche der 4 kommentierten EPP-Statuseinträge wir als fehlend betrachten.

Bitte beachten Sie außerdem, dass sich Ihre Punktzahl für die Dimension „Configuration“ aufgrund dieser neuen Bewertung ändern kann.

2. Export der WHOIS-Zusammenfassung

Alle primären Domains oder Top-Level-Domains innerhalb Ihrer Sweepatic-Analyse werden nun mit WHOIS-Daten angereichert und diese Informationen werden dynamisch aktualisiert. Neben der Aktivierung von Benachrichtigungen über das Ablaufen von Domains können Sie jetzt auch eine CSV-Datei herunterladen, um über den Status Ihrer Domains auf dem Laufenden zu bleiben. Die exportierte Datei enthält die folgenden Informationen:

  • Primäre Domänen
  • Zeitstempel des Ablaufs der Domain
  • Zeitstempel der Plattformaktualisierung
  • EPP-Statuscode

Um die CSV-Datei zu exportieren, navigieren Sie zu Assets > Domains > Export WHOIS summary.

Hier finden Sie die Option zum Export der WHOIS-Zusammenfassung.

Behalten Sie Ihre Expired Domains im Blick

Behalten Sie Ihre Angriffsfläche und mögliche Domains, die dafür genutzt werden können, um Ihrer Organisation zu schaden, im Blick! Gerne beraten wir Sie dazu, wie Sie Sweepatic EASM in Ihre Cybersecurity-Strategie integrieren können.