Sikkerhetsforskere har oppdaget en ny phishingteknikk som utnytter oversette deler av internettets infrastruktur. Det såkalte .arpa-phishingangrepet misbruker reverse DNS-oppføringer og IPv6-adressering for å omgå tradisjonelle systemer for phishingdeteksjon. Ved å manipulere infrastrukturdomener som vanligvis brukes til nettverksoperasjoner, kan angripere skjule ondsinnede lenker i e-poster og unngå vanlige sikkerhetsfiltre.
Metoden er ikke avhengig av skadelig programvare eller programvaresårbarheter. I stedet misbruker angripere legitime internettprotokoller som mange sikkerhetsverktøy sjelden analyserer. Forskere advarer om at denne tilnærmingen gjør det lettere for phishingkampanjer å omgå systemer som vurderer domeners omdømme og dermed nå potensielle ofre.
Reverse DNS-infrastruktur blir et angrepsverktøy
Angrepet dreier seg om domenet .arpa, som har en spesiell rolle i internettets domenenavnsystem. Domenet støtter reverse DNS-oppslag, der IP-adresser oversettes til vertsnavn som brukes i nettverksinfrastruktur.
To hoveddomener støtter denne funksjonen:
- in-addr.arpa, som håndterer reverse DNS-oppslag for IPv4-adresser
- ip6.arpa, som utfører den samme funksjonen for IPv6-adresser
Disse domenene var aldri ment å være vert for vanlige nettsteder eller phishinginnhold. Angripere har imidlertid oppdaget at reverse DNS-oppføringer kan manipuleres på måter som mange sikkerhetsverktøy overser.
Ved å misbruke disse infrastrukturdomenene kan trusselaktører skjule ondsinnede lenker slik at de fremstår som legitime for enkelte filtreringssystemer.
Hvordan angrepet fungerer
Forskere har observert phishingkampanjer der lenker peker til adresser som ligner reverse DNS-oppføringer i stedet for tradisjonelle domenenavn. Disse lenkene vises i phishing-e-poster som utgir seg for å komme fra betrodde organisasjoner.
Når et offer klikker på lenken, gjør systemet et reverse DNS-oppslag og kobler til angriperens server. Serveren omdirigerer deretter brukeren til en phishing-side som forsøker å stjele innloggingsinformasjon eller andre sensitive data.
Fordi lenken bruker infrastrukturbasert adressering i stedet for et vanlig domenenavn, klarer enkelte sikkerhetsverktøy ikke å klassifisere den som mistenkelig.
Angripere skjuler ofte disse lenkene i bilder eller innebygde elementer i e-posten for å redusere sjansen for oppdagelse ytterligere.
IPv6-infrastruktur hjelper med å skjule ondsinnede servere
.arpa-phishingangrepet fungerer ofte sammen med IPv6-infrastruktur. Angripere kan sette opp phishingservere ved hjelp av IPv6-adresser som forekommer sjeldnere i tradisjonelle overvåkingssystemer.
Noen kampanjer benytter også IPv6-tunnelingstjenester. Disse tjenestene gjør det mulig for angripere å hoste phishing-sider samtidig som de skjuler den faktiske plasseringen av infrastrukturen.
Siden mange sikkerhetsverktøy hovedsakelig fokuserer på IPv4-trafikk og domenebasert analyse, kan denne IPv6-baserte metoden skape ytterligere blindsoner for forsvarere.
Kombinasjonen av misbruk av reverse DNS og IPv6-infrastruktur gjør teknikken spesielt effektiv til å omgå automatiserte filtreringssystemer.
Sikkerhetsfiltre ignorerer ofte infrastrukturdomener
Mange e-postsikkerhetssystemer er sterkt avhengige av analyser av domeners omdømme. Disse verktøyene vurderer blant annet domenets registreringsalder, historiske aktivitet og tidligere forbindelser til skadelig virksomhet.
Infrastrukturdomener som .arpa dukker sjelden opp i phishingdatabaser fordi de brukes til tekniske nettverksformål i stedet for offentlige nettsteder.
Som følge av dette behandler enkelte filtreringssystemer disse domenene som pålitelige eller ignorerer dem helt i trusselanalysen. Angripere utnytter denne antakelsen for å få phishinglenker forbi automatiserte forsvarssystemer.
Sikkerhetsforskere advarer om at denne blindsonen kan gjøre det mulig for phishingkampanjer å spre seg bredt dersom organisasjoner ikke tilpasser sine deteksjonsstrategier.
Konklusjon
.arpa-phishingangrepet viser hvordan cyberkriminelle fortsetter å utnytte oversette deler av internettets infrastruktur. Ved å misbruke reverse DNS-domener og IPv6-adresser kan angripere omgå vanlige phishingforsvar uten å utnytte programvaresårbarheter.
Teknikken viser at phishingkampanjer ikke lenger bare er avhengige av mistenkelige domenenavn eller nyregistrerte nettsteder. I stedet manipulerer angripere i økende grad legitime nettverksprotokoller for å unngå oppdagelse.
Organisasjoner bør derfor utvide sine overvåkingsstrategier til å inkludere reverse DNS-aktivitet og uvanlige IPv6-trafikkmønstre. Bedre innsikt i infrastrukturrelatert aktivitet kan hjelpe sikkerhetsteam med å oppdage slike angrep før de når potensielle ofre.
0 responses to “.arpa-phishingangrep bruker IPv6 for å omgå e-postsikkerhet”