https://blog.cloudflare.com/bgp-leaks-and-crypto-currencies/
https://blogs.oracle.com/internetintelligence/bgp-hijack-of-amazon-dns-to-steal-crypto-currency
劫持数字货币钱包流量的案例。
利用BGP的默认信任,通过 AS10297宣告拥有AMAZON Route53的地址段,伪装DNS。
由于myetherwallet.com钱包域名解析托管在Route53,劫持期间该伪装的DNS只响应myetherwallet.com的域名请求(其他域名servfail),用户侧得到钓鱼IP。
而忽略TLS警告的用户,或者钓鱼IP拥有了合法CA证书且用户侧浏览器没有相关Certificate Pinning策略/基于历史记录的增强判断,就很可能因为提交账号密码遭受损失。
——这个理论上是RPKI主治,但是目前部署情况难以实际生效。而在终端侧数字钱包,用FIDO应该可以辅助防御。
利用BGP的默认信任,通过 AS10297宣告拥有AMAZON Route53的地址段,伪装DNS。
由于myetherwallet.com钱包域名解析托管在Route53,劫持期间该伪装的DNS只响应myetherwallet.com的域名请求(其他域名servfail),用户侧得到钓鱼IP。
而忽略TLS警告的用户,或者钓鱼IP拥有了合法CA证书且用户侧浏览器没有相关Certificate Pinning策略/基于历史记录的增强判断,就很可能因为提交账号密码遭受损失。
——这个理论上是RPKI主治,但是目前部署情况难以实际生效。而在终端侧数字钱包,用FIDO应该可以辅助防御。
DNSSEC验证不现实的原因是递归必然会针对二级权威采取 soft-fail 策略。
没有评论:
发表评论