本月初,KerbsOnSecurity 收到了一位研究人員的電子郵件,聲稱其透過簡單的手段,就輕鬆拿到了 .GOV 域名。若這一漏洞被利用,或導致 .Gov 域名出現信任危機。
其表示,自己透過填寫線上表格,從美國一個只有 .us 域名的小鎮主頁上抓取了部分抬頭資訊,並在申請材料中冒名為當地官員,就成功地騙取了稽核者的信任。
(題圖 via KrebsOnSecurity)
這位要求匿名的訊息人士稱:其使用了虛假的 Google 語音號碼和虛假的 Gmail 地址,但這一切只是出於思想實驗的目的,資料中唯一真實的,就是政府官員的名字。
據悉,這封郵件是從 exeterri.gov 域名傳送來的。該域名於 11 月 14 日註冊,網站內容與其模仿的 .us 站點相同(羅德島州埃克塞特的 Town.exeter.ri.us 網站,現已失效)。
訊息人士補充道:其必須填寫正式的授權表單,但基本上只需列出管理員、技術人員和計費人員等資訊。
此外,它需要列印在“官方信箋”上,但你只需搜尋一份市政府的公文模板,即可輕鬆為偽造。
然後透過傳真或郵件傳送,稽核通過後,即可註冊機構發來的建立連結。
從技術上講,這位訊息人士已涉嫌郵件欺詐。若其使用了美國境內的服務,還可能遭到相應的指控。但是對於藏在暗處的網路犯罪分子來說,這個漏洞顯然求之不得。
今天早些時候,KrebsOnSecurity 與真正的埃克塞特官員取得了聯絡。某不願透露姓名的工作人員稱,GSA 曾在 11 月 24 日向市長辦公室打過電話。
然而這通電話是在其向聯邦機構提出詢問的四天之後,距離仿冒域名透過審批更是已過去 10 天左右。
儘管沒有直接回應,但該機構還是寫到:“GSA 正在與當局合作,且已實施其它預防欺詐的控制措施”。至於具體有哪些附加錯誤,其並未詳細說明。
不過 KrebsOnSecurity 確實得到了國土安全部下屬網路安全與基礎設施安全域性的實質性迴應,稱其正在努力為 .gov 域名提供保護。
本月初,KerbsOnSecurity 收到了一位研究人員的電子郵件,聲稱其透過簡單的手段,就輕鬆拿到了 .GOV 域名。若這一漏洞被利用,或導致 .Gov 域名出現信任危機。
其表示,自己透過填寫線上表格,從美國一個只有 .us 域名的小鎮主頁上抓取了部分抬頭資訊,並在申請材料中冒名為當地官員,就成功地騙取了稽核者的信任。
(題圖 via KrebsOnSecurity)
這位要求匿名的訊息人士稱:其使用了虛假的 Google 語音號碼和虛假的 Gmail 地址,但這一切只是出於思想實驗的目的,資料中唯一真實的,就是政府官員的名字。
據悉,這封郵件是從 exeterri.gov 域名傳送來的。該域名於 11 月 14 日註冊,網站內容與其模仿的 .us 站點相同(羅德島州埃克塞特的 Town.exeter.ri.us 網站,現已失效)。
訊息人士補充道:其必須填寫正式的授權表單,但基本上只需列出管理員、技術人員和計費人員等資訊。
此外,它需要列印在“官方信箋”上,但你只需搜尋一份市政府的公文模板,即可輕鬆為偽造。
然後透過傳真或郵件傳送,稽核通過後,即可註冊機構發來的建立連結。
從技術上講,這位訊息人士已涉嫌郵件欺詐。若其使用了美國境內的服務,還可能遭到相應的指控。但是對於藏在暗處的網路犯罪分子來說,這個漏洞顯然求之不得。
今天早些時候,KrebsOnSecurity 與真正的埃克塞特官員取得了聯絡。某不願透露姓名的工作人員稱,GSA 曾在 11 月 24 日向市長辦公室打過電話。
然而這通電話是在其向聯邦機構提出詢問的四天之後,距離仿冒域名透過審批更是已過去 10 天左右。
儘管沒有直接回應,但該機構還是寫到:“GSA 正在與當局合作,且已實施其它預防欺詐的控制措施”。至於具體有哪些附加錯誤,其並未詳細說明。
不過 KrebsOnSecurity 確實得到了國土安全部下屬網路安全與基礎設施安全域性的實質性迴應,稱其正在努力為 .gov 域名提供保護。