Почему хакеры ❤ ваши срок действия доменов и устаревший JavaScript
7 июня 2025 г.Большинство компаний одержимы фишинговыми электронными письмами, брандмауэрами и защитой конечных точек, но пропускают более тихую, одинаково опасную угрозу. Знают ли компании, как их веб -приложения ведут себя в браузере своих пользователей? Устаревшие сторонние сценарии-это не просто гигиена. Это открытое приглашение на кражу данных, мошенничество и регулирование.
Когда забытый домен становится вектором атаки
В печально известном нарушении British Airways злоумышленники зарегистрировали обратный домен (Baways Dot Com) и эксплуатировали сторонний сценарий на законном сайте авиакомпании, чтобы отойти данные о кредитной карте клиентов. В течение 16 дней злоумышленник тихо пересмотрел личную информациюBritishairways.com(Настоящий сайт) на фальшивый сайт. К тому времени, когда кто -то заметил, было скомпрометировано до полумиллиона клиентов. Авиакомпания столкнулась с рекордными штрафами и повреждением репутации.
Еще более примечательно: наша компания недавно смогла купитьbaways.comснова. Это было заброшено. С тех пор мы закрепили его и теперь принимаем историю нарушения, чтобы повысить осведомленность. Были ли на месте современные инструменты безопасности цепочки поставок браузера (способно отметить, чтоbaways.comбыл организован в Румынии дисконтом литовского поставщика, а не в Великобритании), нарушение могло быть предотвращено.
Это не древняя история. Тот же самый базовый вектор атаки все еще доступен для киберпреступников. Многие организации просто не знают, с какими доменами они срок действия истекают, или с чем эти домены все еще связаны.
Заброшенные домены не остаются тихий
Несколько месяцев назад исследователь бельгийской кибербезопасности Inti de Ceukelaire провел смелый эксперимент. Он приобрел более 100 срок действия доменов, которые когда -то принадлежали больницам, судам и полицейским агентствам. В течение нескольких дней он имел доступ к 848 почтовым ящикам. Ссылки сброса пароля поступали для всего, от Google Drive до Dropbox до OneDrive.
Еще более тревожно, эти спящие почтовые ящики начали получать новые сообщения с личными данными о здравоохранении, судебных записях и внутренних полицейских сообщений. Спустя годы после того, как эти домены были выведены из эксплуатации, они все еще были подключены к критическим системам и передавали конфиденциальную информацию менее чем за 10 евро за домен.
Это то, что происходит, когда организации не могут полностью разорвать старые связи. Срок действия истек не означает, что это просто означает уязвимый.
Доменная путаница подрывает доверие бренда и безопасность
Даже активные домены могут создавать проблемы безопасности при плохом управлении. Возьмите Royal Mail в Великобритании, которая отправляет ссылки на отслеживание пакетов пользователей, используя доменryml.meс последующими рандомизированными строками. С мошенническими текстами, имитирующими этот точный формат, пользователи не могут надежно сказать, что законно. В некоторых случаях собственный вспомогательный персонал Royal Mail неправильно идентифицировал свои собственные ссылки как мошеннические. Такая путаница проходит в доверительном доверии и облегчает фишингу.
Или рассмотрим HubSpot, который использует широкий спектр доменных имен (hubspot.comВHS-scripts.comВhsforms.comВhubapi.comи другие) для разных услуг. Если бизнес позволяет сценарию подключаться к такому домену, как HS-Hubapi Dot Net (не фактический известный домен, но достаточно правдоподобно), он может непреднамеренно запускать вредоносный код. И наоборот, законный сценарий может быть помечен как рискованный, если команда безопасности не уверена, какие домены санкционированы. Когда управление доменом не хватает ясности, как команде безопасности, так и конечным пользователям угадывают.
Полифилл нарушение показывает, что происходит, когда забытый код наносит ответный удар.
Недавний инцидент с полифиллом привел эту проблему домой. Злоумышленники купили доменную полифильную точку в iO, ранее связанный с библиотекой с открытым исходным кодом, используемой на тысячах веб -сайтов. Проект выпал из технического обслуживания, но сценарий все еще активно ссылался на более 380 000 хозяев, в том числе Warner Bros и Mercedes-Benz. После скомпрометирования Polyfill Dot IO начал вводить вредоносной код в каждую страницу, которая его называла. Нарушение не проистекало из -за нового роскошного эксплойта. Это пришло от забытой ссылки, похороненной в теге сценария.
Что организации должны делать сейчас
Управление сценариями домена и браузера часто рассматривается как периферийные проблемы. Это не так. Риски реальны, активны и растут; Регуляторы обращают внимание. Например, PCI DSS 4.0 теперь требует (по состоянию на март 2025 г.) все организации, обрабатывающие данные платежей для реализации мониторинга сценариев браузера.
Чтобы оставаться впереди как нападавших, так и аудиторов, организациям необходимо переосмыслить, как они управляют доменом и рисками сценариев. Все начинается с сохранения владения всеми доменами, связанными с внутренними системами, учетными записями пользователей или размещенными данными (включая долгое время после перевода или смены бизнеса). Это также означает, что активно приобретать образные домены, чтобы предотвратить атаки подражания и опечатки, прежде чем они смогут начать. Наиболее важно, что компании должны создать стратегии безопасности цепочки поставок на основе браузеров, которые могут контролировать, проверять и блокировать подозрительные сторонние сценарии в режиме реального времени в качестве нагрузки страниц.
Современный браузер является одной из самых целенаправленных поверхностей в кибербезопасности. С таким большим количеством в зависимости от нескольких невидимых линий JavaScript или забытого домена, команды безопасности не могут позволить себе отвести взгляд.
Оригинал