Tikfoutje in e-mailadres komt je duur te staan

Peter Kim en Garrett Gee kwamen tot de conclusie dat 151 van de 500 bedrijven in Fortunes lijst van grootste bedrijven kwetsbaar waren voor deze manier van afvangen van e-mail. Om te kijken wat dat op zou leveren, creëerden ze vervolgens voor dertig van die domeinen zogenoemde ‘dubbelganger’-mailadressen. Het resultaat overtrof de verwachtingen: in zes maanden oogstten ze 120.000 e-mails. En slechts één van de dertig bedrijven had door waar de onderzoekers mee bezig waren; op aanschrijving van dat bedrijf leverden ze het betreffende domein in.

Verrassende opbrengst aan gevoelige informatie
Nog verrassender was de aard van de informatie die de onderzoekers zo in handen kregen. Tussen de 20 gigabyte aan mail vonden ze onder meer de configuratiegegevens van de externe Cisco-routers van een groot IT-adviesbedrijf, inclusief de wachtwoorden om de apparaten te benaderen. Ook een uitbater van tolwegen in de VS gaf allerlei direct misbruikbare informatie weg door een tikfoutje in het e-mailadres: daardoor kregen de onderzoekers gebruikersnamen en wachtwoorden in handen van het virtual private network van het bedrijf. Verder kregen de onderzoekers onder andere rekeningen, rapporten en personeelsgegevens met bijbehorende financiële informatie in handen.

Wat wellicht nog wonderlijker is, is dat de verzenders in bijna geen van de gevallen door leken te hebben dat ze een fout hadden gemaakt. Slechts bij twee van de 120.000 mailtjes ondernam de verzender actie om te controleren of zijn mail wel was aangekomen.

Chinese organisaties en 'phishers' actief
Het voor de hand liggende advies van de onderzoekers is, om het probleem te onderzoeken. Idealiter zouden bedrijven dubbelganger-domeinen moeten opkopen en registreren, en deze domeinen zo moeten configureren in het DNS dat de verzender een foutmelding krijgt. Dat zal niet altijd mogelijk zijn. De onderzoekers kwamen van verschillende grote bedrijven, waaronder Cisco, Dell, IBM en Yahoo, al dubbelgangerregistraties door derden tegen. De sporen van die registraties wijzen volgens hen naar China en naar grote phishingsites.

Bedrijven zouden actief moeten nagaan of derden al dubbelganger-domeinen hebben geregistreerd, luidt dan ook het advies van de wetenschappers. Dar kan men dan bezwaar tegen maken via Uniform Domain Name Dispute Resolution. In de tussentijd kan men het probleem intern oplossen door DNS-verwijzingen naar e-mailadressen met een tikfout te blokkeren, of het uitgaande verkeer naar dergelijke adressen in de mailserver te blokkeren. Daarmee is het probleem intern opgelost. Daarnaast moet men dan extern klanten en partners attenderen op de kans dat mail gekaapt wordt als ze een tikfoutje maken in het e-mailadres. En voorlichting daarover richting eigen medewerkers kan ook geen kwaad, stellen de onderzoekers.

Hun volledige rapport is hier te lezen.