Hack für nur 1.800 $ nach China

Betrüger haben möglicherweise einen heißen Deal in Form eines obskuren chinesischen Domain-Namens, der im Internet zum Verkauf steht.

Die wpad.cn Domain steht laut einer Mitteilung zum Verkauf auf der Internetseite. Diese Tatsache bedeutet wahrscheinlich nicht viel für die meisten Menschen, aber für Duane Wessels ist das eine große Sache. Er sagt, wenn es in kriminelle Hände gerät, könnte es für Phishing oder andere Arten von Betrug missbraucht werden.

Wessels, der Präsident von Measurement Factory, besitzt fünf wpad-Domains - wpad.com, wpad.net, wpad.org, wpad.biz und wpad.us. Zwischen ihnen bekommt er 5 Millionen Treffer pro Tag. Die meisten von ihnen stammen von Windows-Computern, die irrtümlich nach Netzwerkkonfigurationsinformationen suchen, dank eines jahrzehntelangen Windows-Fehlers, den Microsoft 1 erstmals behoben hat.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Niemand weiß Warum Websites wie Wessels weiterhin so viel Verkehr bekommen, nachdem Microsoft den Fehler behoben hat. Er glaubt, dass es von alten Versionen von Windows, obskuren Programmen mit eingebauten Web-Komponenten oder vielleicht sogar falsch konfigurierten Servern im Netzwerk kommen könnte. Microsoft hat am Dienstag nicht auf eine Frage zu dem Problem geantwortet.

Wenn Wächter die Kontrolle über die wpad.cn-Domäne übernehmen sollten, könnten sie sich selbst als Proxy-Webserver für ihre Opfer einrichten, so Wessels Phishing-Site oder unerwünschte Werbung auf ihren Computer schleudern.

Der Fehler, der so viel Verkehr zu Wessels Sites sendet, liegt in der Art, wie einige PCs nach einem WPAD-Server (Web Proxy Auto-Discovery) im Netzwerk suchen. Diese Server sind vertrauenswürdige Maschinen, die von Administratoren eingerichtet wurden, um dem PC eine Web-Konfigurationsdatei mit dem Namen wpad.dat zu senden.

Der Name des WPAD-Servers beginnt mit wpad (wie in wpad.corp.idg.com), also mit einer Technik bekannt als DNS-Devolution werden Windows-Systeme weit und weit nach einer Maschine suchen, die mit diesen vier Buchstaben beginnt. Leider werden sie manchmal aus dem Netzwerk entfernt - zum Beispiel auf Wessels Website wpad.com. Computer in China, die in ähnlicher Weise falsch konfiguriert waren, würden wahrscheinlich auf die Domäne wpad.cn schauen.

Wessels und andere DNS-Experten denken, dass jemand die wpad.cn-Domäne möglicherweise missbrauchen könnte, indem er schädliche wpad.dat-Dateien an diese Computer sendet. "Es könnte verwendet werden, um Informationen wie Kontonamen und Kontonummern abzubauen", sagte Cricket Liu, Vice President of Architecture bei Infoblox. "Sie könnten möglicherweise alle Inhalte modifizieren, die sie möglicherweise sehen."

Kontaktiert von IDG News Service, Makler, die die wpad.cn-Domain-Besitzer darstellten, um billig zu verkaufen. In einem Instant-Message-Interview sagte ein Agent von Aomei New Investment Consulting, dass die Domain für 12.000 Yen (1.760 US-Dollar) erhältlich sei.

Für Kriminelle wäre das ein ziemlich guter Deal, sagte Tomasz Koperski, der Vice-CEO mit FutureMind.com, die mehr als 40 wpad-bezogene Domains erworben hat. Er besitzt zum Beispiel die Domain wpad.com.tw, ​​die in diesem Monat mehr als 5 Millionen Zugriffe von Rechnern erhalten hat, die nach wpad.dat-Dateien suchen, sagte er per Instant Message.

Die wpad.cn-Besitzer wahrscheinlich nicht Ich weiß nichts über das WPAD-Problem, sagte Wessels. "Meine Vermutung ist, dass sie nicht bemerken, dass sie viele Anfragen für diese Proxy-Autokonfig-Datei erhalten", sagte er. "Wenn sie wüssten, was sie dort hatten, würden sie wahrscheinlich mehr verlangen."