从 Diigo 域名劫持事件中应该吸取的教训

2012 年 11 月 2 日

作者：

Dave Piscitello

Dave Piscitello，ICANN 安全小组高级安全技术专家

Diigo 是数百万个人、教育工作者和学生日常使用的一种社交性注释和书签服务，用于管理和共享信息、开展研究和进行合作。10 月 24 日，一名攻击者取得了 Diigo 的域名注册服务商帐户的控制权。Diigo 控制下的域名被一名攻击者劫持，0 万名用户无法使用 Diigo 的服务。TechCrunch 已公布此次事件的详细情况，为每一位注册域名的用户敲响警钟：域名是您提供在线服务的重要组成部分，您必须采取措施监测并防御各种攻击，这些攻击可能会阻止您提供服务、妨碍研究、对您造成物质损失或名誉损害。

域名劫持并非新事物。2006 年，ICANN 安全与稳定咨询委员会 (SSAC) 在其第一份域名劫持报告 [PDF, 400 KB] 中就开始提醒人们注意这类威胁。从 2006 年至今，SSAC 和 ICANN 安全小组成员已经提出多项措施和方法，让注册人能够保护自己的域名注册帐户，并让注册服务商能够在此方面协助注册人（SAC040、SAC044）。

Diigo 事件是一起涉及用户帐户破坏、敲诈勒索以及非法迁移域名的事件。除了建议的措施之外，这些报告还强调了使用一些不易通过社会工程学手段猜到或获取的凭证（用户名和密码）来保护帐户的重要性。记住：有权访问您凭证的任何一方－您、您网站的签约管理人员或者注册服务商的工作人员－都有可能成为社会工程攻击的目标和受害者。

报告还阐述了使用”锁定”的方法防止非法迁移的重要性。另一份 SSAC 报告阐述了钓鱼攻击 [PDF, 50 KB] 劫持域名的方式：钓鱼者假冒注册服务商将其客户引诱到一个虚假的注册服务商客户登录页面，客户可能会在此页面上无意中将帐户凭证透露给攻击者，然后攻击者就可以修改凭证或者取得客户域名的所有权。

所有注册人都应该采取措施来保护自己的域名不被劫持或免受其他形式的域名攻击，为此我们列出了一个简短的措施列表，其中包括：

保护域名帐户凭证。大多数注册服务商的帐户门户网站都有密码保护，因此请创建强密码，并保护它们。您也可能要从提供多因子身份验证（例如令牌）的注册服务商处购买域名。
访问域名注册帐户时使用 SSL (HTTPS)。
使用 ICANN 认可的注册服务商。询问注册服务商的信誉和服务记录。如果您对注册服务商不太满意，就可以而且应该考虑将域名迁移至您信任的机构。
要求您的注册服务商对您的域名实行注册服务商锁定。加锁（正式名称为状态代码）能够防止您的域名注册变更，并阻止迁移或者删除您域名的尝试（参见 SAC044，第 22-23 页）。为防止注册管理机构帐户的意外变更，许多 TLD 注册管理执行机构都提供注册管理机构锁定服务。这项服务在注册服务商提供的锁定服务以外提供，通常包括手动支持（1、2）。
警惕”常规”注册服务商函件，因为这些函件可能是钓鱼电子邮件。在这些电子邮件消息中，钓鱼者经常使用 HTML 在看似无害或”安全”的链接里嵌入恶意链接。不要点击超链接，改为手动输入链接。
监测您域名的 WHOIS 和 DNS 信息。定期检查这两种信息，以便发现任何非法或者可疑的更改（参见 SAC044，第 20-22 页）。
保持域名注册帐户信息的私密性、安全性和可恢复性。