De beveiligingsbedrijven Check Point en CyberInt tonen hoe ze accounts van EA Origin kunnen overnemen via een reeks technieken. Onder andere wisten ze een subdomein van ea.com in te zetten, waarmee doelwitten makkelijker in de val te lokken zijn.
Check Point en CyberInt gebruikten bij hun proof-of-concept voor het overnemen van een Origin-account een keten van methodes die vaker ingezet worden zoals phishing, session hijacking en cross-site scripting. In de video is te zien hoe ze via WhatsApp een doelwit verleiden om op een link te klikken, met de belofte van een week lang gratis Origin Acces Basic-toegang.
Meestal is dit een zwak punt in een aanval, omdat de persoon op wie de aanval gericht is kan zien dat het niet om een url van EA gaat, maar om een url voor een al dan niet gelijkende subdomein. De beveiligingsbedrijven wisten slachtoffers echter naar een daadwerkelijk subdomein van EA te lokken: eaplayinvite.ea.com.
Ze wisten het subdomein te kapen door een type dns-records, de CNAME-records, te analyseren. Ontwikkelaars gebruiken een CNAME-record, oftewel Canonical Name Record, om een subdomein te koppelen aan het domein waarin de content wordt gehost. In het geval van EA zou het om de naam van een marketingcampagne kunnen gaan die in de url wordt weergegeven, waarbij dat subdomein gekoppeld is aan een plek van bijvoorbeeld hostingprovider AWS.
Via de tool dig
konden Check Point en CyberInt zien hoe eaplayinvite.ea.com via de CNAME-record was gehost. Toen die marketingcampagne was afgelopen, konden ze zelf de achterliggende AWS-record aanvragen. Bij de hostingprovider konden ze zelf een kwaadaardige site op die plek hosten waarna eaplayinvite.ea.com daar naartoe verwees. Zo wisten ze ook EA-cookies van gebruikers te onderscheppen en authenticatietokens te bemachtigen.
Check Point en CyberInt melden aan Ars Technica dat subdomeinen van grote bedrijven op deze wijze vaak te kapen zijn, omdat de devops-ontwikkelteams lang niet altijd goed met de beveiligingsteams communiceren. Cyberint heeft een tool online staan waarmee bedrijven kunnen controleren of ze kwetsbaar zijn.