Jak hakować Chiny za zaledwie 1 800 USD

Oszuści mogą mieć gorącą ofertę czekającą na nich w postaci niejasnej chińskiej nazwy domeny, która jest na sprzedaż w Internecie.

Domena wpad.cn jest na sprzedaż, zgodnie z opublikowaną notatką na stronie internetowej. Ten fakt prawdopodobnie niewiele znaczy dla większości ludzi, ale dla Duane'a Wesselsa to wielka sprawa. Mówi, że jeśli wpadnie w ręce przestępców, może zostać wykorzystany do phishingu lub innego rodzaju oszustwa.

Wessels, prezes fabryki pomiarów, posiada pięć domen wpad - wpad.com, wpad.net, wpad.org, wpad.biz i wpad.us. Pomiędzy nimi dostaje 5 milionów trafień dziennie. Większość z nich pochodzi z komputerów Windows błędnie szukających informacji o konfiguracji sieci, dzięki dziesięcioletniemu błędowi Windows, który Microsoft naprawił w 1 roku.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Nikt nie wie dlaczego witryny takie jak Wessels "nadal przyciągają tak dużo ruchu długo po tym, jak Microsoft załatał tę lukę. Uważa, że ​​może pochodzić ze starszych wersji systemu Windows, zasłaniać programy wbudowanymi komponentami sieciowymi lub być może błędnie skonfigurowanymi serwerami w sieci. Microsoft nie odpowiedział na pytanie dotyczące problemu we wtorek.

Według Wessels, gdyby przestępcy przejęli kontrolę nad domeną wpad.cn, mogliby ustawić się jako serwer proxy dla swoich ofiar, przekierowując ich do strona phishingowa lub skradanie niechcianych reklam na swoje komputery.

Luka, która powoduje tak duży ruch w witrynach Wessels, polega na sposobie, w jaki niektóre komputery szukają w sieci serwera automatycznego rozpoznawania serwerów proxy (WPAD). Te serwery są zaufanymi maszynami skonfigurowanymi przez administratorów do wysyłania do komputera internetowego pliku konfiguracyjnego o nazwie wpad.dat.

Nazwa serwera WPAD rozpocznie się od wpad (jak w wpad.corp.idg.com), więc za pomocą techniki znana jako dewolucja DNS, systemy Windows będą wyszukiwać daleko od maszyny zaczynającej się od tych czterech liter. Niestety, czasami wysyła je poza sieć - na przykład do witryny internetowej wpad.com Wessels. Komputery w Chinach, które były podobnie źle skonfigurowane, prawdopodobnie spoglądałyby na domenę wpad.cn.

Wessels i inni eksperci DNS uważają, że ktoś mógłby prawdopodobnie niewłaściwie użyć domeny wpad.cn, wysyłając na te komputery szkodliwe pliki wpad.dat. "Może być używany do wyszukiwania informacji takich jak nazwy kont i numery kont", powiedział Cricket Liu, wiceprezes architektury Infoblox. "Można potencjalnie modyfikować dowolną treść, którą mogą zobaczyć."

Kontakt z IDG News Service, brokerzy reprezentujący właścicieli domen wpad.cn zaoferowali jej tanią sprzedaż. W wywiadzie dla wiadomości błyskawicznych agent z Aomei New Investment Consulting powiedział, że domena może wynosić ¥ 12 000 (1 760 USD).

Dla przestępców byłaby to dobra okazja - powiedział Tomasz Koperski, wiceprezes z FutureMind.com, która nabyła ponad 40 domen związanych z wpadem. Na przykład posiada domenę wpad.com.tw, ​​która w tym miesiącu otrzymała ponad 5 milionów odsłon od komputerów szukających plików wpad.dat, powiedział przez wiadomość błyskawiczną.

Właściciele wpad.cn prawdopodobnie don - Wiesz o kwestii WPAD - powiedział Wessels. "Domyślam się, że nie zauważają, że dostają dużo próśb o ten plik autoconfig proxy", powiedział. "Gdyby wiedzieli, co tam mają, prawdopodobnie będą pobierać więcej."