Miljoenen domeinnamen wereldwijd kunnen eenvoudig worden gehackt. Dat melden Infoblox en Eclypsium. De bedrijven noemen de kwetsbaarheid, die voor het eerst werd beschreven in 2016, de ‘sitting ducks attack’. De laatste tijd zijn er volgens een rapport opvallend veel meer meldingen van misbruik van domeinnamen.
Het gaat om domeinnamen waarbij de registratie en de nameservers niet bij één partij liggen, zoals in het geval van Managed DNS. Wanneer na verloop van tijd en diverse wijzigingen de nameservers niet meer actueel zijn, en de domeinen niet meer gevonden kunnen worden, dan verweest zo’n domeinnaam. De derde voorwaarde waaraan moet zijn voldaan is dat de DNS-provider domeinnamen laat claimen zonder verdere check of de gene die het DNS vastlegt ook echt de eigenaar is van de domeinen. De crimineel kan dan bij de DNS-provider het domein omleiden naar een andere nameserver waar die de controle over heeft. Vervolgens kan de hacker het domein misbruiken en gebruiken voor malware, phishing en zelfs merkimitatie.
Volgens Infoblox en Eclypsium zijn er meer dan een dozijn Russische hackersgroepen die gelinkt zijn aan sitting duck aanvallen. Groot probleem is dat een domeinhack heel eenvoudig uit te voeren is, en vrijwel onopgemerkt blijft. Aan de andere kant zou het heel eenvoudig te voorkomen zijn, als de DNS-provider de domeinzones beter beveiligt.
De bedrijven hebben sinds 2018 meer dan 35 duizend domeinen gevonden die met sitting duck zijn gekaapt.
