ドメインを攻撃から保護する方法

例として、独自のドメイン名を持つオンラインビジネスを考えてみましょう。 現在、次のような重要なセキュリティ対策が施されています。 南京錠レジストラ （レジストラロック）。 後者は、そのドメインに要求された変更を確認するように人に要求することです。 ただし、この人が確認できる手段は誰でもかまいません。 WhatsApp メッセージ。

このドメインをホストする会社のテクニカルサポートチームと人がコミュニケーションをとることを想像してください。 このドメインの元の所​​有者（登録者）であると主張し、このドメインへの転送を要求します。 それは実際にそのような登録者であるという証拠（実際には本物ではない）を送信します。 同じ出席者は、それが詐欺師であることに気づかず、自分のものではないアカウントを適切にしたいと考えています。

さらに修正することなく、サポートエージェントは攻撃者を承認し、ドメインの転送に進みます。 これは、対応するチェックを実行せず、実際にはモンタージュであるという証拠に盲目的に依存することなく行われました。 これで、ドメインは同じプロバイダーに属する別のリセラーに属します。 つまり、元の本物の所有者にはこの事実が通知されませんでした。

もう一度、インテリジェント 社会工学 テクニックは、あまり努力をしなくても、どれほど有害であるかを引き出します。 単一の説得行為により、現在ドメインを所有している攻撃者は、サポートエージェントが個人的な文書を提出することなく転送を行えるように管理しました。

ドメインを保護するセキュリティ対策

レジスタロック

これは、より厳密で手動のプロセスであり、オフラインで実行されることもあります。 Register-Lockは、ドメインレジストラーを適切にするソーシャルエンジニアリングの試みを無効にするステータスコードです。 これにより、レジストラはドメインを別のドメインレジストラに移動できません。 これを行うには、関連付けられているドメイン登録で手動で確認する必要があります。 ただし、すべてのドメイン登録者がこれらの登録ロックをサポートしているわけではありません。 重要な詳細は、これが不正な操作を防止すると同時に、意図せずに行った偶発的な変更を防ぐのに役立つことです。

Registrar-Lockにより、変更アクション（ドメインの転送および削除）および連絡先の詳細の変更は、XNUMX回目の確認なしに禁止されます。 ただし、ドメイン登録者でRegistrar-Lockを設定していても、ドメインの更新は問題なく実行できます。

DNSSEC

もうXNUMXつの方法は、 DNS 設定はDNSSECです。 これは、ドメインおよびDNSインフラストラクチャへの潜在的な攻撃を防ぐためのより効果的なアプローチによるアクティビティです。 もし ドメインネームサーバー（DNS） ドメインのWebアドレスの登録が途中で変更されていないと判断し、そのドメインを解決して、ユーザーがWebサイトにアクセスできるようにします。 一方、変更があった場合、または要求されたドメインと一致しない場合、DNSサーバーはユーザーが疑わしいページにアクセスするのをブロックします。

DNSSECは、データの発信元を認証するために顧客に提供されるセキュリティ対策であり、偽のDNSデータから顧客を保護するために作られています。 DNSSEC応答はすべてデジタル署名され、その署名はすべてが正しいことを確認するためにチェックされます。 重要な詳細は、DNSSECはデータの機密性を保証しないことです。つまり、DNSSEC応答は認証されますが、暗号化されません。HTTPS上のDNSとTLS上のDNSの両方が既に存在します。

これらのXNUMXつのソリューションを使用して、攻撃者からドメインを保護します。 彼らは、目標を達成するためにますます考え、計画され、開発された手順と技術を適用します。 上記のケースと同様に、ソーシャルエンジニアリングは通常失敗しない主な武器のXNUMXつであることを思い出してください。

そのため、何らかの理由で電話やその他の手段で機密情報を要求するよう電話がかかってきた場合は、何度も考えてください。 特に大規模な組織では、企業データが処理されるため、より危険にさらされます。 私たちは用心深く、情報を疑うことを恐れてはなりません。 ドメインやソーシャルネットワークアカウント、企業ソフトウェアのライセンスなど、個人データは本当に私たちのものです。