Topuniversiteiten slachtoffer van pornosites en malware door slecht domeinbeheer

Honderden vergeten subdomeinen misbruikt voor porno en oplichting

Onderzoeker Alex Shakhov van SH Consulting heeft ontdekt dat tientallen subdomeinen van toonaangevende universiteiten zoals berkeley.edu, columbia.edu en washu.edu worden misbruikt voor het verspreiden van expliciete porno en malware. De slachtoffers omvatten onder meer de Universiteit van Californië, Columbia University en Washington University in St. Louis.

Via vergeten subdomeinen, zoals causal.stat.berkeley.edu/ymy/video/xxx-porn-girl-and-boy-ej5210.html en conversion-dev.svc.cul.columbia.edu/brazzers-gym-porn, worden bezoekers blootgesteld aan schadelijke inhoud. In één geval leidde een subdomein zelfs naar een nep-antiviruswebsite die beweerde dat de computer van de bezoeker geïnfecteerd was en betaalopdrachten afdwong voor een niet-bestaande malwareverwijdering.

Shakhov schat dat er in totaal honderden subdomeinen van minstens 34 universiteiten worden misbruikt. Google-indexeert duizenden van deze gehackte pagina’s, wat de omvang van het probleem verder vergroot.

Hoe scammers universiteiten misbruiken

De aanvallers, mogelijk gelinkt aan de beruchte groep Hazy Hawk, profiteren van slordig domeinbeheer. Wanneer een universiteit een subdomein aanmaakt, zoals provost.washu.edu, wordt er een CNAME-record aangemaakt dat de URL koppelt aan een IP-adres. Als dit subdomein later niet meer wordt gebruikt en het record niet wordt verwijderd, kunnen scammers het oude domein registreren en overnemen.

Shakhov legt uit:

"Universiteiten creëren vaak subdomeinen voor tijdelijke projecten, maar vergeten deze later op te ruimen. Scammers wachten alleen maar tot zo’n subdomein vervalt om het over te nemen en te misbruiken."

Gevolgen voor universiteiten en bezoekers

• Bezoekers worden blootgesteld aan schadelijke inhoud, waaronder porno en malware.
• Nep-antiviruswebsites kunnen leiden tot financiële oplichting.
• De reputatie van universiteiten lijdt schade door de associatie met illegale inhoud.
• Google-indexering van gehackte pagina’s verergert het probleem door extra zichtbaarheid.

Oplossingen en aanbevelingen

Om dit soort misbruik te voorkomen, adviseren experts universiteiten om:

• Regelmatig domeinregistraties te controleren en verouderde subdomeinen te verwijderen.
• Automatische waarschuwingen in te stellen voor vervallen domeinen.
• Beveiligingsprotocollen te versterken, zoals DNSSEC, om domeinovername te voorkomen.
• Medewerkers te trainen in het herkennen en melden van verdachte activiteiten.

Shakhov benadrukt dat dit geen eenmalig probleem is:

"Zonder structurele aanpassingen in domeinbeheer zullen universiteiten blijven lijden onder dit soort aanvallen."