電子郵件是打開私密王國(guó)的鑰匙。所有口令重置都要通過電子郵件，而棄用舊域名讓攻擊者可以很容易地重新注冊(cè)該域名來誘騙公司員工。

安全專家指出，棄用舊域名問題對(duì)律所而言尤其危險(xiǎn)，因?yàn)槁伤g合作伙伴關(guān)系的建立、解除和合并很常見。合并或收購(gòu)?fù)ǔ?huì)形成新的公司新的品牌，隨之而來的就是新的域名或被并購(gòu)公司舊品牌及舊域名的棄用。放任這些舊域名過期是非常危險(xiǎn)的行為。

2017年，美國(guó)頂級(jí)律所間兼并創(chuàng)了紀(jì)錄，共發(fā)生了102起合并或收購(gòu)。小型律所間并購(gòu)案可能以千計(jì)。

為檢測(cè)棄用域名問題的嚴(yán)重性，安全研究員 Gabor Szathmari 重注冊(cè)了經(jīng)歷過合并的多家律所的舊域名。他不過是設(shè)置了郵件服務(wù)器，沒做任何黑客操作，就持續(xù)收到了機(jī)密信息流，包括銀行往來郵件、其他律所的發(fā)票、客戶的敏感法律文書，還有來自LinkedIn的更新。

棄用域名可用于詐騙

同樣的方法也可用來進(jìn)行詐騙。通過恢復(fù)之前運(yùn)營(yíng)在棄用域名上的網(wǎng)店，騙子可以從archive.org上下載原始網(wǎng)頁，偽裝成仍在營(yíng)業(yè)的網(wǎng)店接下新的訂單和所付款項(xiàng)。

如果上一家網(wǎng)店有客戶關(guān)系管理(CRM)系統(tǒng)或用MailChimp進(jìn)行市場(chǎng)營(yíng)銷的話，罪犯就能通過基于電子郵件的口令重置接管這些賬戶，獲得上任店主的客戶列表。他們可以為這些客戶提供特殊折扣碼，激勵(lì)他們快下訂單，然而這些訂單永遠(yuǎn)都不會(huì)送達(dá)，只有客戶支付的錢款會(huì)被罪犯卷走。

域名注冊(cè)機(jī)構(gòu)每天都會(huì)把快過期的域名以域名刪除列表的形式公布出來。不需要太多技術(shù)含量就可以下載這些列表并與并購(gòu)消息交叉對(duì)比，或者重注冊(cè)感興趣的域名。

Szathmari還成功利用這些重注冊(cè)的域名訪問過HaveIBeenPwned.com和SpyCloud.com的第三方數(shù)據(jù)泄露所涉口令庫。這兩個(gè)訪問都要求域名驗(yàn)證，但只有了這些重注冊(cè)的域名，通過驗(yàn)證很容易。因?yàn)榭诹钪赜梅簽E成災(zāi)，Szathmari表示他可以很輕松地用這些第三方口令攻擊受影響的員工，包括他們的工作和個(gè)人生活。

舊域名需保留多久？

謹(jǐn)慎小心保安全。域名又不貴，繼續(xù)保有舊域名已經(jīng)是最便宜的網(wǎng)絡(luò)安全保障策略了。

Szathmari建議設(shè)置一個(gè)總攬型電子郵件服務(wù)，負(fù)責(zé)將所有入站電子郵件重定向到可信管理員處，由這名管理員審查前任及現(xiàn)任員工的通信地址，以及在線服務(wù)的口令重置郵件。