Vinny Troia ซีอีโอของบริษัท Night Lion Security สาธิตการขโมยบัญชีลูกค้า GoDaddy ด้วยกระบวนการวิศวกรรมสังคม (social engineering) โดยที่แฮกเกอร์ไม่สามารถเข้าถึงอีเมลของเหยื่อ หรือทราบรหัสอื่นๆ รู้เพียงข้อมูลส่วนตัวของเหยื่อเล็กน้อย

Troia สาธิตการเข้าควบคุมบัญชีโดเมนของ Steve Ragan นักข่าวจาก CSO Online ด้วยการโทรหาฝ่ายซัพพอร์ต โกหกว่าเขาไม่สามารถเข้าถึงบัญชีบน GoDaddy และอีเมลของเขาเองได้

เจ้าหน้าที่ GoDaddy ถามข้อมูลส่วนตัว นับแต่ PIN ของเว็บและ หมายเลขบัตรเครดิตสี่หลักสุดท้ายแต่ Troia ไม่สามารถตอบคำถามได้ และอ้างว่าผู้ช่วยของเขาเป็นคนเปิดบัญชีให้ ซัพพอร์ตของ GoDaddy จึงให้เว็บแบบฟอร์มการขอเข้าถึงบัญชี ตัวแบบฟอร์มต้องการบัตรประจำตัวที่ออกโดยหน่วยงานรัฐ Troia ปลอมภาพใบขับขี่จากรัฐอินเดียน่า

สี่วันต่อมา GoDaddy ติดต่อกลับมาระบุว่าข้อมูลบัญชีระบุว่าเป็นข้อมูลบริษัทและต้องการเอกสารเพิ่มเติม Troia โกหกกลับไปว่าชื่อบริษัทนั้นเขาใส่ไปมั่วๆ เพราะคิดว่าต้องกรอกให้ครบ เจ้าหน้าที่เชื่อตามนั้นและส่งลิงก์รีเซ็ตรหัสผ่านมาให้ทางอีเมล

ปัญหาสำคัญของกระบวนการนี้ คือทาง GoDaddy พยายามแจ้งเจ้าของบัญชีเดิมว่ามีความพยายามขอเข้าถึงบัญชี แต่กลับแจ้งหลังจากรีเซ็ตรหัสผ่านบัญชีไปเรียบร้อยแล้ว Ragan ระบุว่าอีเมลมาถึงเขาเก้าชั่วโมงหลังจากรหัสผ่านถูกรีเซ็ตไปแล้ว หากเป็นการแฮกจริงโดเมนทั้งหมดในบัญชีอาจจะถูกโอนไปเรียบร้อยแล้วกว่าเจ้าของบัญชีที่แท้จริงจะได้รับแจ้ง

Troia ระบุว่ากระบวนการป้องกันช่องโหว่นี้แบบหนึ่งคือการเปิดบริการรักษาความเป็นส่วนตัวของโดเมนเพื่อปกปิดข้อมูลส่วนตัวออกจากฐานข้อมูล WHOIS เสีย

ที่มา - CSO Online