Рус | Eng

Как похищают домены по телефону


Скандальная история о похищении злоумышленниками уникального однобуквенного твиттер-аккаунта @N облетела весь Интернет.

Его бывший владелец программист Наоки Хиросима рассказал о том, как хакерам удалось получить доступ к его доменным именам и шантажом заставить его отдать редкий аккаунт в социальной сети. По его словам, сам же злоумышленник не стал скрывать то, каким образом ему удалось получить личные данные владельца доменов:

— Я обратился в службу техподдержки PayPal и, используя довольно простые уловки, получил последние четыре цифры номера вашей пластиковой карты (вы можете избежать этого, обратившись в службу техподдержки PayPal и попросив специалиста компании добавить примечание к вашей учетной записи, запрещающее сообщать какую-либо техническую информацию по телефону).

— Я позвонил GoDaddy и сказал им, что я потерял карту, но я вспомнил последние четыре цифры. Собеседник согласился и я назвал их (00-09 в вашем случае). Я не знаю, как сделать аккаунт в GoDaddy более безопасным.

На вопрос о том, как ему удалось, хакер ответил, что в разговоре с PayPal он представился их сотрудником, и ему действительно назвали последние четыре цифры кредитной карты. GoDaddy же сочли эти данные почти достаточными для того, чтобы дать злоумышленнику права доступа к доменным именам. В разговоре они предложили ему попробовать вспомнить первые две цифры номера карты, и злоумышленнику удалось сделать это сразу или почти сразу. Шансы угадать первые цифры весьма высоки, если знать что они обозначают: первая из них - код типа карты: Visa, MasterCard и т.д., вторая - код номера банка.

После этого происшествия GoDaddy изменил правила безопасности: теперь для получения доступа требуется назвать 8 цифр карты, а пользователю дается не более трех попыток "угадать" номер. Также была введена двухфакторная аутентификация.

Комментарий Webnames.ru:

Мы не рекомендуем пользоваться услугами компаний, использующих авторизацию по телефону.

Во-первых: вся информация произносится вслух и может быть записана из помещения, где она произносится.
Во-вторых:  телефон - небезопасный канал для передачи данных.
И в-третьих: сотрудники регистратора видят всю информацию для авторизации, т.е. есть  вероятность утечки данных через сотрудников колл-центра.

В нашей компании подобных случаев быть не может.

Аккаунты записываются на конкретных лиц,  включая номер паспорта. Пользователи и злоумышленники не могут самостоятельно изменить эти данные.

В случае угона аккаунта его владельцу достаточно лично с паспортом явиться в любой из наших офисов и написать там заявление на восстановление доступа. Также возможен вариант с нотариально заверенным документом по почте.

Также у нас есть настройки безопасности для аккаунтов.
Можно, например, разрешить доступ только с определенного IP или диапазона IP.

По телефону мы только консультируем клиентов. Совершить какое-либо действие с доменом или изменить какие-либо настройки по телефону невозможно.









Комментировать

Полезные статьи

... все статьи