Два исследователя из Godai Group решили поставить эксперимент и проверить, сколько приватной информации можно собрать, если регистрировать домены с опечатками и поднимать на них почтовые серверы. Оказалось, что этот приём на редкость эффективен. На 30-ти «фальшивых» доменах за шесть месяцев скопилось 20 ГБ писем (около 120 000), отправленных компаниям из списка Fortune 500. Примерно 1% из этих писем содержат конфиденциальную информацию — логины и пароли сотрудников, информацию по сделкам, внутренним расследованиям и т.д.
120 тысяч писем — неплохой результат, учитывая пассивность метода сбора и абсолютную секретность. За полгода никто ничего не заметил.
Исследователи выяснили, что возможность зарегистрировать домен-двойник без точки существует для 30% крупных компаний, учитывая их поддомены, по которым адресуется почта. У некоторых корпораций есть по 60 поддоменов, то есть они особенно уязвимы. Если в компании идёт большой поток писем по внутренней почте, то некоторые наверняка попадут по неправильному адресу. Например, на @seibm.com вместо @se.ibm.com (шведское подразделение IBM) или @ausintel.com вместо @aus.intel.com.
За шесть месяцев на 30 доменах было получено около 120 000 писем. Поиск по характерным ключевым словам дал такой результат:
Вполне возможно, что сбор чужой корпоративной почты таким образом уже осуществляется. Исследователи обнаружили, что ряд тайпсквоттерских доменов для некоторых крупнейших компаний уже зарегистрировано китайцами или ��а подозрительные email'ы. Это вполне может быть частью системы промышленного шпионажа.
Результаты эксперимента (PDF)
120 тысяч писем — неплохой результат, учитывая пассивность метода сбора и абсолютную секретность. За полгода никто ничего не заметил.
Исследователи выяснили, что возможность зарегистрировать домен-двойник без точки существует для 30% крупных компаний, учитывая их поддомены, по которым адресуется почта. У некоторых корпораций есть по 60 поддоменов, то есть они особенно уязвимы. Если в компании идёт большой поток писем по внутренней почте, то некоторые наверняка попадут по неправильному адресу. Например, на @seibm.com вместо @se.ibm.com (шведское подразделение IBM) или @ausintel.com вместо @aus.intel.com.
За шесть месяцев на 30 доменах было получено около 120 000 писем. Поиск по характерным ключевым словам дал такой результат:
| Ключевое слово | Количество писем |
| Investigation | 350 |
| Secret | 425 |
| Unclassified | 106 |
| Credit Card | 402 |
| Private | 394 |
| UserID | 225 |
| Password | 405 |
| Login | 495 |
| Confidentiality | 374 |
| VPN | 75 |
| Router | 163 |
| Contract | 417 |
| Affidavits | 34 |
| Invoice | 323 |
| Resume | 275 |
| Цель | Домен-двойник | Почтовый адрес владельца |
| adp.com | cnadp.com | adp@vip.163.com |
| cisco.com | kscisco.com | domainadm@hichina.com |
| dell.com | chndell.com | gdguy@163.com |
| dupont.com | sydupont.com | syxxhw@163.com |
| gm.com | ucgm.com | zydoor@126.com |
| hp.com | chehp.com | 59031894@qq.com |
| ibm.com | caibm.com | 604732486@qq.com |
| ibm.com | seibm.com | fjjclaw@263.net |
| intel.com | ausintel.com | nheras@gmail.com |
| itt.com | cnitt.com | dulingqun@sina.com |
| kohls.com | emailkohls.com | bridgeportltd@gmail.com |
| manpower.com | demanpower.com | tzstudent@163.com |
| mcd.com | cnmcd.com | 617388068@qq.com |
| yahoo.com | nayahoo.com | xxxxxx_vip@yahoo.com.cn |
| unisys.com | caunisys.com | domainadm@hichina.com |
