Slik hacker du Kina for bare $ 1800

Svindlere kan ha en varm avtale som venter på dem i form av et uklart kinesisk domenenavn som er til salgs på Internett.

Wpad.cn-domenet er til salgs, ifølge et notat som er lagt ut på nettsiden. Det faktum betyr sannsynligvis ikke mye for de fleste, men til Duane Wessels er det en stor sak. Han sier at hvis det faller i kriminelle hender, kan det misbrukes for phishing eller andre typer svindel.

Wessels, presidenten til Measurement Factory, eier fem wpad-domener - wpad.com, wpad.net, wpad.org, wpad.biz og wpad.us. Mellom dem får han 5 millioner treff per dag. De fleste av dem kommer fra Windows-datamaskiner som feiler på jakt etter nettverkskonfigurasjonsinformasjon, takket være en tiår gammel Windows-feil som Microsoft først ble løst i 1.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Ingen vet hvorfor steder som Wessels fortsetter å få så mye trafikk lenge etter at Microsoft patched feilen. Han tror det kan komme fra gamle versjoner av Windows, obskure programmer med innebygde webkomponenter, eller kanskje til og med feilkonfigurerte servere på nettverket. Microsoft reagerte ikke på en spørring om problemet på tirsdag.

Ifølge Wessels, hvis kriminelle skulle ta kontroll over wpad.cn-domenet, kunne de sette seg opp som en proxy-webserver for sine ofre, omdirigere dem til en phishing-nettstedet eller sniker uønskede annonser på sine datamaskiner.

Feilen som sender så mye trafikk til Wessels nettsteder, ligger i måten noen PCer søker etter på en WPAD-server (Web Proxy Auto Discovery) på nettverket. Disse serverne er klarerte maskiner, opprettet av administratorer for å sende PCen en webkonfigurasjonsfil kalt wpad.dat.

WPAD-serverens navn starter med wpad (som i wpad.corp.idg.com), slik at du bruker en teknikk kjent som DNS devolution, vil Windows-systemer søke langt og bredt for en maskin som starter med de fire bokstavene. Dessverre sender dette noen ganger dem ut av nettverket - for eksempel til Wessels 'wpad.com-nettsted. Datamaskiner i Kina som også var feilkonfigurerte, ville trolig se på wpad.cn-domenet.

Wessels og andre DNS-eksperter tror at noen sannsynligvis kunne misbruke wpad.cn-domenet ved å sende skadelige wpad.dat-filer til disse datamaskinene. "Det kan brukes til å min informasjon som kontonavn og kontonumre," sa Cricket Liu, visepresident for arkitektur med Infoblox. "Du kan potensielt endre innhold som de kan se."

Kontaktet av IDG News Service, meglere som representerer wpad.cn-domenene, tilbød å selge det billig. I et øyeblikkelig meldingsintervju sa en agent med Aomei New Investment Consulting at domenet kunne ha hatt 12 000 dollar (US $ 1,760).

For kriminelle ville det være ganske bra, sa viceadministrerende direktør Tomasz Koperski. med FutureMind.com, som har kjøpt over 40 wpad-relaterte domener. Han eier wpad.com.tw-domenet, for eksempel, som har mottatt mer enn 5 millioner treff så langt denne måneden fra datamaskiner som leter etter wpad.dat-filer, sa han via direktemeldinger.

Wpad.cn-eierne sannsynligvis ikke Jeg vet ikke om WPAD-problemet, sa Wessels. "Mitt gjetning er at de ikke merker at de får mange forespørsler om denne proxy-autokonfigfilen," sa han. "Hvis de visste hva de hadde der, ville de trolig kreve mer."