Phishing permite a hackers acceder a registros DNS de los principales sitios web

Un ataque de phishing, de las más comunes y antiguas estafas cibernéticas, permitió a los hackers secuestrar y modificar los registros DNS de varios dominios el pasado martes, incluyendo el periódico The New York Times, Twitter y el Huffington Post de Reino Unido.

Representantes de las entidades afectadas declararon que sus sistemas están operando normalmente y que los ataques no fueron persistentes o de efectos duraderos. De hecho las compañías no fueron los únicos objetivos de los atacantes, quienes se identificaron como el Ejercito Electrónico Sirio, un grupo hacktivista responsable de la caída de numerosos sistemas en meses recientes.

Los intrusos responsables de los incidentes del martes comprometieron una cuenta que tenía acceso a los sistemas de TI del registro de Australia, Melbourne IT. Un empleado de esta organización comentó que la propagación se debió a ataques phishing que permitían a los hackers robar sus credenciales de acceso.

Bruce Tonkin, jefe de un departamento en Melbourne IT, dijo el pasado miércoles, que no podía revelar la identidad de los distribuidores o los detalles del phishing, sin embargo, admitía estar sorprendido por lo auténtico que parecía ser el correo y explicó: “veo como la gente puede caer en esto, incluso gente en la industria de TI”.

El sitio web de The New York Times fue modificado (defacement) y experimento caídas esporádicas en su servicio, así como imágenes alojadas en la cuenta de Twitter que no podían ser mostradas correctamente, mientras que el grupo hacker publicaba en su cuenta de Twitter mensajes sobre ataques e imágenes de los registros Whois mostrando las alteraciones del registro.

Cuando Melbourne IT recibió la notificación del incidente, los técnicos reaccionaron rápidamente para cambiar las credenciales de los proveedores que eran objetivo del ataque, con la finalidad de prevenir futuros ataques, así como cambiar los registros DNS a sus valores previos de los dominios .com, dijo Tony Smith, portavoz de Melbourne IT.

“Actualmente estamos revisando nuestras bitácoras para ver si podemos obtener información de la identidad de las organizaciones que fueron usadas por las credenciales de los proveedores, y compartiremos esta información con los proveedores y cualquier instancia legal,” dijo.

Tonkin comentó que el incidente podría reforzar el bloqueo de la aplicación conocida comúnmente como bloqueo de registro.

El bloqueo de registro es un código de estado aplicado a un nombre de dominio web que está diseñado para prevenir cambios accidentales o no autorizados, incluyendo modificaciones, transferencias o borrado de nombres de dominios, así como alteraciones en los detalles de contacto de los dominios sin la autenticación del operador de dominios más altos. Esto para los dominios .com de VeriSign.

 Fuente