Ένα περιστατικό που συνέβη σε έναν πελάτη μας, μας ώθησε να εξετάσουμε αυτό το θέμα σε βάθος. Ο υπεύθυνος IT ενός boutique ξενοδοχείου στην Κωνσταντινούπολη πίστευε ότι ήταν απόλυτα ασφαλείς αφού έβαλαν την κύρια ιστοσελίδα τους πίσω από το Cloudflare. Ωστόσο, λίγες εβδομάδες αργότερα, μια ψεύτικη ιστοσελίδα κρατήσεων ενεργοποιήθηκε χρησιμοποιώντας ακριβώς την πραγματική IP του διακομιστή του ξενοδοχείου. Πώς έγινε αυτό;
Η απάντηση ήταν απλή: Το subdomain "mail.hotelname.com" έδειχνε απευθείας στον παλιό διακομιστή email που δεν είχε ρυθμιστεί με Cloudflare. Και αυτή η διεύθυνση IP ήταν δημόσια διαθέσιμη.
Τι είναι το Subdomain και γιατί είναι σημαντικό;
Το subdomain (υποτομέας) είναι ένα πρόθεμα που προστίθεται σε ένα κύριο domain. Τα ξενοδοχεία συχνά δημιουργούν δεκάδες subdomain με την πάροδο των ετών: για μια καμπάνια, μια παλιά μηχανή κρατήσεων, περιβάλλοντα δοκιμών κ.λπ. Πολλά από αυτά ξεχνιούνται, αλλά οι εγγραφές DNS παραμένουν, δείχνοντας σε παλιούς διακομιστές. Αυτές οι ξεχασμένες διευθύνσεις αποτελούν χρυσωρυχείο για τους απατεώνες.
Πώς αποκαλύπτεται η IP μέσω διαρροής Subdomain;
Υπηρεσίες όπως το Cloudflare προσθέτουν ένα επίπεδο προστασίας μπροστά από τις ιστοσελίδες, κρύβοντας την πραγματική IP. Ωστόσο, αυτή η προστασία ισχύει μόνο για τις εγγραφές που έχουν ρυθμιστεί μέσω του Cloudflare.
Subdomain όπως το "mail.hotelname.com" πρέπει συχνά να δείχνουν απευθείας στην IP του διακομιστή για την κίνηση SMTP. Αυτό σημαίνει ότι κάποιος μπορεί εύκολα να βρει την πραγματική IP κάνοντας ένα απλό ερώτημα DNS. Στην έρευνά μας, βρήκαμε τέτοιες ανοιχτές εγγραφές subdomain σε περισσότερο από το 75% των τουρκικών ξενοδοχείων που εξετάσαμε.
Dangling DNS: Η απειλή των "φαντασμάτων" Subdomain
Ο όρος "Dangling DNS" αναφέρεται σε μια κατάσταση όπου μια εγγραφή DNS εξακολουθεί να υπάρχει, αλλά ο διακομιστής ή η υπηρεσία στην οποία δείχνει δεν είναι πλέον ενεργή.
Παράδειγμα: Παλιά Μηχανή Κρατήσεων
Ένα ξενοδοχείο χρησιμοποιούσε μια τρίτη μηχανή κρατήσεων πριν από χρόνια. Δημιουργήθηκε το subdomain "booking.hotelname.com" που οδηγούσε στον διακομιστή εκείνης της εταιρείας. Όταν η συνεργασία έληξε, η εγγραφή DNS παρέμεινε. Ένας επιτιθέμενος θα μπορούσε να καταλάβει αυτή την IP ή την υπηρεσία και να στήσει ένα phishing site χρησιμοποιώντας τη φήμη του ξενοδοχείου μέσω του συγκεκριμένου subdomain. Αυτό ονομάζεται "subdomain takeover".
Επικίνδυνοι τύποι Subdomain
- Υποδομή Email: "mail.", "smtp.", "imap.", "webmail.". Συχνά αποκαλύπτουν την πραγματική IP.
- Παλιές σελίδες κρατήσεων και καμπανιών: "summer2022.", "promo.", "rez.". Μπορεί να έχουν παραμείνει συνδεδεμένες σε παλιούς διακομιστές.
- Περιβάλλοντα ανάπτυξης και δοκιμών: "dev.", "test.", "staging.". Συχνά έχουν ελλιπή μέτρα ασφαλείας.
- Πίνακες Διαχείρισης: "admin.", "panel.", "cpanel.". Στοχοποιούνται συχνά με επιθέσεις brute force.
Πώς οι απατεώνες ανακαλύπτουν Subdomain;
- DNS enumeration: Χρησιμοποιούν εργαλεία για να δοκιμάσουν κοινά ονόματα subdomain.
- Certificate Transparency logs: Αναζητούν στο crt.sh όλα τα πιστοποιητικά που έχουν εκδοθεί για το συγκεκριμένο domain.
- Web archives: Ψάχνουν παλιές εγγραφές DNS στο Wayback Machine.
Τρόποι Προστασίας
- Δημιουργήστε ένα απόθεμα (inventory) Subdomain: Καταγράψτε όλες τις εγγραφές DNS σας.
- Διαγράψτε τις αχρησιμοποίητες εγγραφές: Αφαιρέστε οτιδήποτε δεν χρησιμοποιείται πλέον.
- Ρυθμίστε τα ενεργά Subdomain με Cloudflare: Όπου είναι δυνατόν, δρομολογήστε την κίνηση μέσω proxy για να κρύψετε την IP.
- Περιορισμός IP για τους πίνακες διαχείρισης: Επιτρέψτε την πρόσβαση σε σελίδες "admin" μόνο από συγκεκριμένες διευθύνσεις IP.
- Περιοδική σάρωση: Ελέγχετε τα subdomain σας τουλάχιστον μία φορά το μήνα.
Εντοπίστε όλα τα subdomain του ξενοδοχείου σας και τις πιθανές διαρροές IP μέσα σε λίγα λεπτά με το δωρεάν εργαλείο της RuuSafe.
