Hacker verbiegen Namensauflösung von Telekommunikationskonzern Comcast
Offenbar hatten die Angreifer das Passwort von Comcast, um die beim Registrar hinterlegten Einstellungen zu ändern. Passenderweise hat die ICANN am Mittwoch einen Bericht veröffentlicht, der auf Attacken mit nachgemachten Registrar-Seiten hinweist.
- Daniel Bachfeld
US-Medienberichten zufolge haben es Angreifer am vergangenen Mittwoch geschafft, die DNS-Einstellungen der Domain des US-amerikanischen Telekommunikationskonzerns Comcast zu manipulieren. Der Aufruf der Homepage von Comcast führte anschließend von Mittwochabend bis Donnerstagfrüh auf einen Server der Angreifer. Besucher bekamen dort die Mitteilung "KRYOGENIKS EBK and DEFIANT RoXed COMCAST sHouTz To VIRUS Warlock elul21 coll1er seven" zu sehen. Offenbar waren die Angreifer in den Besitz des Passworts von Comcast gelangt, mit dem sie die beim Registrar hinterlegten Einstellungen änderten. Unklar ist bislang aber, wie sie an das Passwort herangekommen sind.
Interessanterweise hat das Security and Stability Advisory Committee (SSAC) der ICANN am Mittwoch einen Bericht (Advisory on Registrar Impersonation Phishing Attacks, PDF-Dokument) veröffentlicht, in dem auf mögliche Phishing-Attacken hingewiesen wird, bei denen Administratoren auf nachgemachten Registrar-Seiten landen und dort Name und Passwort verraten. Der Link zu den Phishing-Seiten steckt laut Bericht in gefälschten Mails, die etwa den Ablauf der Gültigkeit einer Domain ankündigen. Möglicherweise sind die Administratoren genau solch einem Angriff zum Opfer gefallen. Das SSAC empfiehlt Registraren und deren Resellern, Maßnahmen gegen Phishing zu ergreifen und schlägt im Bericht einige vor.
Apropos Reseller: Nach Angaben von Jan Legenhausen, administrativer Ansprechpartner der laut KnuJon zu den "10 Worst Registrars" gehörenden Joker.com, hat die ICANN nur eine Anfrage gestellt, wie Joker mit dem WDPRS (Whois Data Problem Report System) umgeht. Eine "Notice-" oder "Warning of Breach" habe es nicht gegeben. Ohnehin beruhe der Auslöser, die Liste von KnuJon, auf veralteten Daten. Tatsächlich habe Joker.com 2007 ein Problem mit einem Reseller gehabt, der massiv gegen die Bestimmungen verstossen habe. Nahezu sämtliche als Spam-Domains aufgefallenen Domains hätten aus diesem Portfolio gestammt. Das Problem wurde jedoch 2007 durch Kündigung dieses Resellers behoben.
Bereits vorher habe Joker.com den Grossteil dieser Domains deaktiviert – durch Setzen des Status "hold", wodurch eine Domain unbenutzbar wird. Leider würde diesem Umstand in der "KnuJon-Liste" keine Rechnung getragen; statt dessen würden auch die längst abgeschalteten Domains weiter gezählt. Nach Meinung von Legenhaus ließe sich das Spam-Problem ohnehin nicht durch das Abschalten von Domains aufgrund falscher Whoisangaben regeln. Oftmals würden die benutzten Adressen tatsächlich existieren oder zumindest nicht offensichtlich falsch sein und teilweise sogar durch eingereichte Unterlagen bestätigt. Es sei weder möglich noch zumutbar, den Fälschungsgrad solcher Angaben zu prüfen. Der Unterschied zwischen "Gemeinschaftsbüro-" und "Briefkasten-Adresse" sei zu subtil, um etwa auswärtige Antragsteller zu prüfen.
Siehe dazu auch:
- Advisory on Registrar Impersonation Phishing Attacks, Homepage von Blue Pill
(dab)
