Hoe u China kunt hacken voor slechts $ 1800

Fraudeurs staan ​​misschien te wachten op hen in de vorm van een obscure Chinese domeinnaam die te koop is op internet.

Het wpad.cn-domein is te koop volgens een gepubliceerde notitie op de website. Dat feit betekent waarschijnlijk niet zoveel voor de meeste mensen, maar voor Duane Wessels is het een groot probleem. Hij zegt dat als het in handen van criminelen zou komen, het zou kunnen worden misbruikt voor phishing of andere vormen van fraude.

Wessels, de president van Measurement Factory, is eigenaar van vijf wpad-domeinen - wpad.com, wpad.net, wpad.org, wpad.biz en wpad.us. Samen krijgt hij 5 miljoen hits per dag. De meesten van hen zijn afkomstig van Windows-computers die ten onrechte op zoek zijn naar netwerkconfiguratie-informatie, dankzij een tien jaar oude Windows-bug die Microsoft voor het eerst in 1 heeft opgelost.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Niemand weet waarom sites zoals Wessels 'zoveel verkeer blijven ontvangen nadat Microsoft de fout heeft hersteld. Hij denkt dat het kan komen van oude versies van Windows, obscure programma's met ingebouwde webcomponenten of misschien zelfs verkeerd geconfigureerde servers op het netwerk. Microsoft heeft dinsdag niet gereageerd op een vraag over het probleem.

Volgens Wessels zouden criminelen, als zij het wpad.cn-domein zouden overnemen, zichzelf kunnen instellen als een proxy-webserver voor hun slachtoffers, en hen doorverwijzen naar een phishing-site of sluipen ongewenste advertenties op hun computers.

De fout die zoveel verkeer naar de sites van Wessels stuurt, ligt in de manier waarop sommige pc's op zoek zijn naar een Web Proxy Auto-Discovery (WPAD) -server op het netwerk. Deze servers zijn vertrouwde machines, ingesteld door beheerders om de pc een webconfiguratiebestand met de naam wpad.dat te sturen.

De naam van de WPAD-server begint met wpad (zoals in wpad.corp.idg.com) dus met een techniek bekend als DNS-deconcentratie, zullen Windows-systemen overal zoeken naar een machine die met die vier letters begint. Helaas worden ze soms uit het netwerk verzonden, bijvoorbeeld naar de wpad.com-website van Wessels. Computers in China die op dezelfde manier verkeerd geconfigureerd waren, zouden waarschijnlijk naar het wpad.cn-domein kunnen kijken.

Wessels en andere DNS-experts denken dat iemand waarschijnlijk het wpad.cn-domein zou kunnen misbruiken door kwaadwillende wpad.dat-bestanden naar die computers te verzenden. "Het kan worden gebruikt om informatie zoals accountnamen en rekeningnummers te ontginnen," zei Cricket Liu, vice-president van de architectuur bij Infoblox. "U zou mogelijk de inhoud kunnen wijzigen die ze zouden kunnen zien."

Contact gemaakt door IDG News Service, makelaars die de eigenaars van het wpad.cn domein vertegenwoordigen aangeboden om het goedkoop te verkopen. In een interview met een instant-bericht zei een agent van Aomei New Investment Consulting dat het domein mogelijk voor ¥ 12.000 ($ 1.760) zou zijn.

Voor criminelen zou dat een redelijk goede deal zijn, zei Tomasz Koperski, de vice-CEO met FutureMind.com, dat meer dan 40 wpad-gerelateerde domeinen heeft verworven. Hij is bijvoorbeeld eigenaar van het domein wpad.com.tw, ​​dat tot nu toe deze maand meer dan 5 miljoen hits heeft ontvangen van computers op zoek naar wpad.dat-bestanden, zei hij via een chatbericht.

De eigenaars van wpad.cn waarschijnlijk niet Ik ben niet op de hoogte van het WPAD-probleem, zei Wessels. "Mijn gok is dat ze niet merken dat ze veel verzoeken krijgen voor dit proxy autoconfig-bestand," zei hij. "Als ze wisten wat ze daar hadden, zouden ze waarschijnlijk meer in rekening brengen."