Nieuwe top-level-domeinnamen betekenen buitenkans voor cybercriminelen

Dagelijks veroorzaken verdwaalde WAPD-verzoeken 6,6 miljoen potentiële slachtoffers van cyberaanvallen. En dat allemaal vanwege de toename in gTLD's, de nieuwe domeinnamen.

 
Er wordt door het Amerikaanse CERT (Computer Emergency Readiness Team) gewaarschuwd voor nieuwe domeinnamen zoals .ads of .office. Ze kunnen een gevaar vormen voor zakelijke netwerken, luidt het. Bedrijven die hun interne netwerken uitrustten met een verzonnen domeinnaam, lopen namelijk het risico dat die exacte namen publiek beschikbaar worden als gTLD. Dat kan cybercriminelen met een slimme kunstgreep de kans geven om toegang te krijgen tot het bedrijfsnetwerk.

Verloren WAPD-verzoek

Het hele gevaar draait rond het Web Proxy Auto-Discovery-protocol. Het WAPD-protocol stelt computers op een intern netwerk in staat om automatisch allemaal dezelfde webproxy-instellingen te gebruiken. Daarvoor zendt het protocol een verzoek uit naar de DNS-server van het bedrij, die vervolgens een bestand met info over de juiste configuratie terugstuurt.
 
Met behulp van de nieuwe gTLD’s kan dat WAPD-verzoek onderschept worden, waarschuwen experten. Als bedrijven hun servers bijvoorbeeld de domeinnaam .office hebben meegegeven, en die gTLD inmiddels geregistreerd is, kan het WAPD-verzoek bij de verkeerde server belanden. Dit is vooral een probleem als de computer zich buiten het interne netwerk bevindt.
 
Cybercriminelen spelen hier handig op in, en hosten daarom valse proxyconfiguratie-bestanden. Door middel van een valse proxyconfiguratie, kan het webverkeer van de gedupeerde gebruiker makkelijk onderschept worden en gecontroleerd worden bij een man-in-the-middle-aanval.

Omvang van het gevaar

Vooral voor Windows- en Internet Explorer-gebruikers is het oppassen geblazen, want het WAPD-protocol is voor hen standaard ingeschakeld. Bij andere besturingssystemen Linux en OS X, en browsers zoals Google Chrome, Mozilla Firefox of Safari is het gebruik van WAPD ondersteund, maar geen standaardinstelling.
 
Een onderzoek van Verisign en de Universiteit van Michigan onderzocht de ernst van de aanvallen. Volgens hun conclusies zijn er elke dag meer dan 20 miljoen gelekte WPAD-verzoeken, wat risico’s zou inhouden voor mogelijk 6.6 miljoen gebruikers. De gTLDS waarbij de meeste WPAD-verzoeken verkeerd werden gestuurd waren .global, .ads, .group, .network, .dev, .office, .prod, .hsbc, .win, .world, .wan, .sap and .site.

Wat te doen?

Ondertussen heeft CERT (Computer Emergency Readiness Team) enkele adviezen bekendgemaakt voor bedrijven die gevaar lopen. Je kan allereerst de automatische proxyconfiguratie-functie in je browser en besturingssysteem uitschakelen als het niet in een intern netwerk wordt gebruikt. Daarnaast is het verstandig om niet op willekeurige domeinnamen te vertrouwen voor het intern netwerk, maar een fully qualified domain name, of FQDN, te registreren.

beveiligingbusinessdomeinnaamgtlditprofessionalman-in-the-middleWAPD

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600