一个CSO应该知道些什么,首席安全官。当然他必须对服务器的日志非常熟悉,第二是备份系统,第三是漏洞的堵漏能力。第三个能力可以通过更换服务商实现。所以说这是一个比较烦人的苦力活动也不为过。
苦主
直接苦主是Morphus实验室。
目标苦主是巴西银行的用户资料。信任Morphus实验室的用户如果正好是巴西银行的用户,那么就会获得一次感染的机会。
DNS域名劫持
DNS服务是一种翻译。
无论是视频,网站,微信,银行各种系统都有自己独立的名字,但是他不是被因特网协议认可的名字,英特网只认识一种名字就是IP地址。
比如fpwap.com,这个域名如果不转换成IP地址,几乎无法响应用户请求。
我们知道局域网中最后一个IP地址是无法使用的,这个IP地址的控制权就在本地DNS服务器中,他负责组件本地局域网的IP中介作用。当你通过本地IP出发到外部的时候,这个IP起到了中介的作用,把你的IP和外界的IP接通。
还是以飞鹏网fpwap.com为例子,不知道哪个地方的用户用他的IP设备(可能是手机或者电脑)要访问fpwap.com的时候,先要到DNS服务器找到“.com”域名服务中的“fpwap.com”,再转到子DNS服务器中解析WWW域名,他解析了一个唯一的IP之后返回给用户IP。
用户IP--域名根DNS--子域名NDS--解析WWW成IP--返回用户IP
早期和现在的域名注册商“比如.com”会管理自己的注册域名,同时专门配置DNS服务器的IP地址,来负责在注册后的用户那里帮助他们收费或者免费解析域名成IP。
服务器和域名是分开的
虽然是常识。
不过核心常识还是要经常说明。
你拥有的域名,如果不打算使用他的话,你可以不把域名IP绑定自己的服务器(网站或者程序数据的IP)
绑定服务器是必须做的。
这样你的域名才能访问服务器。也就是将DNS解析的IP和服务器的IP绑定,使得直接使用域名IP或则域名本身就可以访问到服务器的内容。
2019年8月20日一个32岁的男人solex舍弃了微信和QQ,只为了专注一个事情,把世界互联网变得更公开,而不是更自私。
成也风云败也风云
DNS域名服务商的道德和互联网安全能力不一定有你自己配置或者购买的服务器那么高。
这种情况下,如果有人获得了你的DNS域名服务商的个人账户信息。
*这种个人帐号信息非常重要,他可以独立控制和计算你的用户支出信息。并且依照法律是非常保密的合法内容,一旦改掉,这个域名就不再属于原来的你,而是修改后的那个“你”。
如果你用这个域名来访问自己的网站。
黑客可以把你的域名指向违法网站来秀一把技术,或者宣传一些恶意的违法信息。
苦主那点儿事儿
所以你到这里看懂了,就是DNS域名服务器的个人帐号被盗了。
加入你的域名是中国万网注册的,你的阿里云域名后台被盗取了,然后他指向了一个钓鱼网站,并且要求用户重复填写个人信息,获得了巴西银行大量的个人用户真实信息。
因为域名是真的,仿照的网站又一模一样(感觉不到异常),仅仅是升级登出了你的账户,那么顺理成章的让你再登录就有了理由。并且你也会这么做。
后台静默下载可不是难事儿。所以一个200KB的后台程序,可能也就1S就完成了下载,另外1S完成了安装。然后执行时间很可能是凌晨2-4点。这个时候99%的人在床上睡觉。
补救措施
资料回滚就能挽救你的损失,但是客户那边的损失就只能猜测了,毕竟钓鱼网站的访问日志你并没有。而且域名本身是不带访问日志的,他只有解析日志,你只知道是哪个服务器被指向了。不过这个时候很可能那边也发现了,黑客都是24小时工作,然后立即删除了服务器文档,并拔掉了宾馆的网线退房去了下一个城市或者国家。甚至可能只带走了硬盘/U盘/DVD片。
和找回QQ号一样,通过绑定邮箱或者电话号码,或者其他认证资料,甚至支付记录找人工取回。
修改帐号密码,帐号名称无法更改。
当然你可以选择后续换一家域名注册商,把这个域名转移过去。域名的高防DNS服务器也是非常重要的。
通过其他途径,不是通过这个域名或者邮件服务器去通知,很可能对方依然在窃听你传输的所有内容。
比如用微信,FB,推特等手段,打电话发短信也可以,人工通知你的重要客户黑客攻击维护期间不要相信和访问网站。
即使在完全恢复了DNS和迁出域名之后,你的用户依然在访问的是DNS服务器中的缓存内容。也就是最短24小时,最长48小时不要让用户再使用你们的网络服务。
黑客公司时间
黑客会认真研究你公司的注册和办公所在地。
这样他会选择在节假日无人值守的时候突然发动攻击。
而且聪明的黑客会使用你个人帐号中的TTL值转发设置,一般我们设置是10秒,但是黑客可不管这么多,他会设置成24小时甚至更长。
这样即使你补救了全部的事情,依然要等DNS服务器时钟走完一个缓存阶段。
有加速的办法,报警,让警察提供DNS服务器商的夜班电话或者值守电话,告诉对方我们请了警方协助,对方可能会有技术人员在场,他会给你手动刷新DNS配置。
失窃的过程
这件事发生后两个处理,第一是找回和通知,第二就是问题是怎么发生的,就是失窃过程。
这个和账户找回有关系。
这也说明了为什么大的互联网公司必须有自己的邮件服务器,专门用来找帐号使用。并且一定要放在股东的家里。
他这个帐号之前绑定了一个Gmail邮箱,手机短信可以用克隆卡实现接受短信。
手机卡克隆是黑客必备的另外一项技能,一些网站甚至提供在线的短信手机号码接收。全自动AI。特定的手机号码可以一直获得短信。当然这样的帐号是不安全的。
你可以用来注册游戏或者其他实名认证的时候使用。
SDR(软件无线电)可以向GSM(一种手机服务CT协议)发起封包挟持,截获特定号码的网络消息和短信消息,准备充足的前提下还可以监听电话语音(你需要在目标附近放置一台无线电接收车)
巴西银行
软件代码类似青蛙王子,银行木马(banload),它专门用于窃取巴西银行用户凭证。
二次验证
现在使用QQ的时候,我不仅需要输入正确的密码,而且必须用手机QQAPP扫描二维码才能登录,这样由于帐号绑定了手机本身。所以如果手上这个唯一的手机硬件不失窃,即使失窃,只要身份证还有效,依然可以重新办理手机卡,并且在QQ的服务商那边拿到帐号重新换手机。
这样避免了和案中发生的事情一样的事情,
获得你的邮箱帐号,然后由于你的二次验证是手机短信,所以被克隆之后,黑客合法获得了你的身份凭证。
避免使用安全系数不高的邮箱系统,有条件的话,自己整一个。
如果你的网站非常重要,一定要有域名注册商的紧急联系人方式(电话号码和联系人)
如果您是这个域名注册商的大客户,建议和域名注册商之间组织有效的常规应急通讯流程。
阿里云的联系方式是95187
Copyright © 2010-2022 All Rights Reserved
色彩类游戏合集
守护类APP合集
西游类游戏大全
社保类APP合集
保卫游戏大全