Nätverkslösningar Phishing kom före webbattack

Grafisk: Diego AguirreA sena oktober-phishing-kampanjen kan ha gett onlinekriminella informationen de behövde för att ta kontroll över betalningsprocessorn CheckFree: s internetdomän denna vecka.

På morgonen den 2 december inloggades angripare på CheckFree: s domännamnsregistreringskonto hos Network Solutions och omdirigerad Internettrafik från CheckFree system till en skurk server i Ukraina. Under en händelse som varade strax under fem timmar attackerades CheckFree-kunder som försökte ansluta sig till företagets webbplats angrepp med kod som utnyttjade en bugg i Adobes Reader-programvara.

Men säkerhetsexperter sa torsdag att grunden för denna attack kan ha varit läggs i slutet av oktober, då Network Solutions-kunder riktade sig till ett phishing-angrepp.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

I den attacken skickades kunderna till Network Solutions till ett e-brev till ser ut som dom kom från domännamnsregistratorn och bad dem att ange sin kontoinformation på en webbplats som kontrolleras av brottslingarna. När dessa attacker riktas mot en liten men noggrant målad grupp av offer, kallas de "spjutfiskning" i säkerhetsbranschen.

Nätverkslösningar var en av minst två domännamnregistratorer som riktade sig till denna attack, sade Susan Wade, en nätverkslösnings talesman. Ingen vet hur CheckFree-hackarna nått domännamnet, men de skrev in rätt lösenord vid sitt första försök, sa hon.

Ordföranden för anti-phishing-arbetsgrupp Dave Jevans anser att phishing-attacken i oktober kan ha varit skyldig.

"Det är perfekt spjutfiske", säger han och konstaterar att angripare kan nå en hel grupp användare, som de gjorde med CheckFree-attacken, genom att kapa bara ett domännamn.

Domännamn phishing-attacker kan vara mycket effektivt eftersom om bara ett offer överlämnar inloggningsuppgifter till en populär domän, kan tusentals webbsurfare attackeras. För att göra saken värre, är folk som äger domännamn vana vid regelbunden e-post från registratorer som Network Solutions och ber dem att ange kontoinformation. Det beror på att den grupp som styr Internetdomännamn, ICANN (Internet Corporation for Assigned Names and Numbers), kräver att denna information ses över årligen.

Det fanns flera variationer i nätverkslösningen. I en blev kunderna tillsagda att domännamnen hade löpt ut och att de var berättigade att få pengar genererade från försäljningen av domänen till någon annan.

Det var inte första gången Network Solutions har riktats av phishers, sade Wade. Företaget har vidtagit säkerhetsåtgärder sedan attacken, men hon ville inte beskriva dem för rädsla för att hjälpa andra brottslingar.

"Vi kunde jobba ganska snabbt för att stänga av [phishing] -ställena och meddela kunderna," she sa.