Subdomain-Takeover

So funktioniert es

Sie legen eine Subdomain wie status.ihrebrand.com an, die auf einen Cloud-Dienst zeigt, stellen die Nutzung des Dienstes ein, lassen aber den DNS-Eintrag bestehen. Ein Angreifer registriert diese Dienstressource selbst und kontrolliert nun, was status.ihrebrand.com zeigt. Da sie auf Ihrer echten Domain liegt, erbt alles dort Gehostete Ihr Vertrauen und alle darauf beschränkten Cookies.

Verwaiste DNS-Einträge, oft CNAMEs auf abgeschaltete Dienste, sind die Ursache.

Bezug zur Brand-Impersonation

Ein Subdomain-Takeover verschafft einem Angreifer Brand-Impersonation auf Ihrer eigenen Domain, was weit überzeugender ist als jeder Lookalike. Die Überwachung Ihres DNS auf verwaiste Einträge ist die Abwehr.

So hilft nebty

nebty überwacht Ihre Domains auf die Art von DNS-Änderungen und Exponierungen, die Missbrauch ermöglichen, sodass verwaiste Einträge und Übernahmen erkannt werden, bevor sie jemand ausnutzt.

So finden Sie Ihre verwaisten Einträge

Ein Subdomain-Takeover beginnt mit einem vergessenen Eintrag. Teams richten eine Subdomain ein, die auf einen Cloud-Dienst, ein Helpdesk, ein Marketing-Tool oder einen statischen Host zeigt, kündigen den Dienst später, lassen aber den DNS-Eintrag darauf zeigen. Der Ressourcenname ist nun nicht beansprucht, und wer ihn auf der Plattform registriert, kontrolliert, was Ihre Subdomain ausliefert. Um das Risiko zu finden, prüfen Sie Ihr DNS auf CNAME-Einträge, die auf Drittanbieterdienste zeigen, und prüfen Sie, ob jedes Ziel noch Ihnen gehört; ein 404 oder eine Meldung über eine nicht beanspruchte Ressource ist der Hinweis. Entfernen Sie nicht mehr genutzte Einträge und führen Sie die Regel ein, dass das Abschalten eines Dienstes das Löschen seines DNS-Eintrags einschließt. Kontinuierliche Überwachung Ihres eigenen DNS fängt die verwaisten Einträge, die sich einschleichen, während Projekte kommen und gehen.