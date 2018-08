E-mail is stiekem een belangrijke sleutelbewaarder. Wanneer je een wachtwoordreset aanvraagt, gaat de link naar je adres. Als je je domein laat verlopen, kan iemand anders het oude domein registreren en zo je wachtwoorden te pakken krijgen. Dat niet alleen, allerlei mogelijk vertrouwelijke correspondentie komt terecht bij de nieuwe eigenaar.

Dat klinkt als een klein probleem, maar het is een groter issue dan je zou denken vanwege bedrijven die fuseren, worden overgenomen, kleiner worden - en vervolgens van naam veranderen, enzovoorts, zo merkt beveilgingsonderzoeker Gabor Szathmari op, die schrijft over advocatenkantoren die hiermee onderuit gaan.

Stroom vertrouwelijke gegevens

Bij een nieuwe naam, laten organisaties de oude los, maar het laten verlopen van domeinnamen brengt risico's met zich mee. "In de VS gingen vorig jaar 102 grote kantoren samen met overnames of in fusies", aldus Szathmari. "Als je kijkt naar kleinere praktijken hebben we het al snel over duizenden per jaar."

Om te testen hoe groot dit probleem werkelijk is, registreerde Szathmari de oude domeinnamen van verschillende advocatenkantoren die waren gefuseerd. Hij zette een e-mailserver op en zonder daadwerkelijk hacks uit te voeren, kreeg hij een constante stroom vertrouwelijke e-mail binnen, inclusief bankafschriften, facturen van juristen, gevoelige juridische documenten van cliënten en updates van LinkedIn. Szathmari werkt nu met de kantoren om ze oude domeinen terug te laten nemen.

Klantenkapingen

Met dezelfde methode kan ook makkelijk fraude worden gepleegd. In een e-mail aan ons vertelt hij: "Door een online webshop in te zetten op een eerder verlaten domein, kunnen criminelen originele pagina's downloaden van bijvoorbeeld archive.org en die aanpassen om nieuwe bestellingen en betalingen in ontvangst te nemen in een ogenschijnlijk normaal functionerende webshop."

"Als de voormalige webshop een CRM-systeem of MailChimp gebruikte voor marketingcampagnes kunnen criminelen de lijst van voormalige klanten in handen krijgen door die accounts onder controle te krijgen met een e-mailgebaseerde wachtwoordreset. Ze zouden klanten bijvoorbeeld een speciale kortingscode kunnen geven om ze te motiveren bestellingen te doen die nooit aan zullen komen."

Dit is openbare informatie en verlopen domeinnamen worden dagelijks gepubliceerd. Je hoeft geen crimineel meesterbrein te zijn om deze lijsten te downloaden en te vergelijken met aangekondigde fusies en overnames in relevante publicaties, of ze gewoon door te struinen op zoek naar een domein dat een interessante kandidaat kan zijn.

Hoe lang behouden?

Szathmari kon ook de opnieuw geregistreerde domeinnamen om diensten als HaveIBeenPwned.com en SpyCloud.com te raadplegen. Die gebruiken allebei domeinnaamverificatie en als je het domein bezit is het makkelijk om binnen te komen. Omdat recyclen van wachtwoorden een probleem blijft, denkt de beveiligingsonderzoeker dat het erg makkelijk zou zijn geweest om die third-party wachtwoorden te gebruiken om werknemers schade toe te brengen.

De hamvraag is nu: hoe lang moet je een domein dan behouden? Nou, ze kosten relatief erg weinig en in het bezit houden van domeinen voor de nabije toekomst is daarmee een goedkoop beveiligingsmiddel als je niet overal in kaart wil brengen waar het domein wordt gebruikt door klanten en third-party diensten.

Szathmari raadt aan om een e-maildienst op te zetten die al het mailverkeer naar een beheerder doorstuurt - iemand die de correspondentie aan voormalig personeel en huidige werknemers kan doornemen, alsmede de wachtwoordresets van online diensten.