24. 9. 2020
Od pátku 18.9.2020 je registrátor doménových jmen ale také hostingový a cloudový poskytovatel Forpsi v hledáčku útočníků.
Po uvedeném datumu se nám začali ozývat klienti s dotazy, zda-li je výzva k platbě oprávněná a zda-li ji mají zaplatit. Po krátkém prostudování základních parametrů zprávy jsme upozorňovali, že jde o podvod.
Ukázka podvodného e-mailu útočníků vystupující pod značkou Forpsi
Klienti, kteří se nám s dotazy ozývali, mají (nebo v minulosti měli) s Forpsi opravdu co dočinění a jsou nebo byli jejich zákazníky.
Odesílatelem e-mailů byl root@www2536.sakura.ne.jp a forpsi@vasedomena.cz, kteří se tvářili jako zmíněný registrátor Forpsi s požadavek na úhradu služeb na další rok.
Forpsi na svém webu i blogu průběžně informovalo, co nás ale zaujalo je, o jak velký vzorek dat příjemců se jedná a zda-li problém nevzniknul již mnohem dříve.
Odkud data pocházejí?
Centrální registr ani jiní registrátoři domén již delší dobu neposkytují veřejně žádné kontaktní údaje např. majitelů domén či jiných služeb.
To spekulativně ukazuje na možnost úniku databáze klientů registrátora Forpsi. Po tomto našem dotazu na Forpsi nám bylo sděleno, že o žádném úniku dat z databáze nevědí a že se jim s podvodným e-mailem dotazují i jiní lidé, než-li pouze jejich zákazníci, což jim údajně potvrzuje, že nejde o krádež vlastních dat.
Kdo je odesílatelem podvodných zpráv?
Jak to tak již bývá u podobných a sofistikovaných útoků, autory coby fyzické osoby útoků je velmi těžké vypátrat. Doména sakura.ne.jp patří japonské technologické společnosti SAKURA Internet Inc., která je lokálním providerem a poskytovatelem serverových služeb sídlící v japonské Osace.
S velkou pravděpodobností nejde o autora útoku, ale o poskytovatele serverových služeb pro útočníky. Dále je v e-mailu uvedený odkaz, který vede přes doménu senza.info, která je již CSIRT týmem z CZ.NIC v českém internetu zablokovaná. Registrace této domény proběhla přes italského registrátora dne 16.1.2017. Odkazuje na IP adresu 82.165.167.8, která vede do německého datacentra SchlundTech. Dále by se chtělo ptát příslušných poskytovatelů, jací zákazníci za danými službami stojí.
Útočníci si zpravidla vybírají služby a zahraniční registrátory takové, kde míra ověření konečného zákazníka či fyzické osoby je velmi malá a tím pádem riziko dopadení je téměř minimální.
Řešení ze strany Forpsi (INTERNET CZ a.s.)
Dále nás zaujalo, s jakým nasazením a jakou prioritou Forpsi problém řeší. Narychlo vytvoří pravidla pro odfiltrování pošty na svých poštovních serverech, komunikuje s českým týmem pro řešení bezpečnostních incidentů na internetu (CSIRT), dále je v kontaktu s dalšími poskytovateli poštovních a DNS služeb (vč. vlastní konkurence).
Dle priority řešení lze usuzovat, že nejde o malý vzorek dat, kam podvodné e-maily odcházely či možná ještě odchází. Ostatně sám registrátor na svém facebooku zmínil, s jakými poskytovateli poštovních a DNS služeb je nebo byl v kontaktu.
Nedostatky Forpsi?
Pokud pomineme možný únik dat, který registrátorovi rozhodně nepřejeme a věříme, že se tak nestalo, hlavní problém vidíme v technice prodlužování služeb. Forpsi (téměř jako jediný) totiž při prodloužení své služby (domény, webhostingu, serveru atd.) do e-mailu zákazníka opravdu zasílá odkaz, na kterém si zákazník teprve může vygenerovat výzvu k platbě na další období. Pokud takto je navyknutá drtivá většina klientů, kterých jsou statisíce, phishingový útok na tohoto poskytovatele se stává snažším a mnohem efektivnější.
Forpsi s těmito typy útoků má bohaté zkušenosti, ostatně sám registrátor to popisuje na svém blogu.
Registrátorovi držíme palce, aby se mu následky škod podařilo co nejvíce minimalizovat a tiše si přejeme, aby obdobných útoků na českém internetu bylo co nejméně.