Sikkerhedsforskere har opdaget en ny phishingteknik, der udnytter oversete dele af internettets infrastruktur. Det såkaldte .arpa-phishingangreb misbruger reverse DNS-poster og IPv6-adresser til at omgå traditionelle systemer til phishingdetektion. Ved at manipulere infrastrukturdomaener, som normalt bruges til netværksdrift, kan angribere skjule ondsindede links i e-mails og undgå almindelige sikkerhedsfiltre.
Metoden er ikke afhængig af malware eller softwaresårbarheder. I stedet misbruger angribere legitime internetprotokoller, som mange sikkerhedsværktøjer sjældent undersøger. Forskere advarer om, at denne metode gør det lettere for phishingkampagner at omgå systemer, der vurderer domæners omdømme, og dermed nå potentielle ofre.
Reverse DNS-infrastruktur bliver et angrebsværktøj
Angrebet centrerer sig om domænet .arpa, som har en særlig rolle i internettets domænenavnsystem. Domænet understøtter reverse DNS-opslag, hvor IP-adresser oversættes til værtsnavne, der bruges i netværksinfrastruktur.
To primære domæner understøtter denne funktion:
- in-addr.arpa, som håndterer reverse DNS-opslag for IPv4-adresser
- ip6.arpa, som udfører den samme funktion for IPv6-adresser
Disse domæner var aldrig beregnet til at hoste almindelige websites eller phishingindhold. Angribere har dog opdaget, at reverse DNS-poster kan manipuleres på måder, som mange sikkerhedsværktøjer overser.
Ved at misbruge disse infrastrukturdomaener kan trusselsaktører skjule ondsindede links, så de fremstår legitime for visse filtreringssystemer.
Sådan fungerer angrebet
Forskere har observeret phishingkampagner, hvor links peger på adresser, der ligner reverse DNS-poster i stedet for traditionelle domænenavne. Disse links optræder i phishingmails, der udgiver sig for at komme fra betroede organisationer.
Når et offer klikker på linket, foretager systemet et reverse DNS-opslag og forbinder til angriberens server. Serveren omdirigerer derefter brugeren til en phishing-side, der forsøger at stjæle loginoplysninger eller andre følsomme data.
Fordi linket bruger infrastrukturbaseret adressering i stedet for et normalt domænenavn, klassificerer nogle sikkerhedsværktøjer det ikke som mistænkeligt.
Angribere skjuler ofte disse links i billeder eller indlejrede elementer i e-mailen for yderligere at reducere risikoen for opdagelse.
IPv6-infrastruktur hjælper med at skjule ondsindede servere
.arpa-phishingangrebet fungerer ofte sammen med IPv6-infrastruktur. Angribere kan opsætte phishingservere ved hjælp af IPv6-adresser, som sjældnere overvåges i traditionelle sikkerhedssystemer.
Nogle kampagner benytter også IPv6-tunnelingtjenester. Disse tjenester gør det muligt for angribere at hoste phishingwebsites, samtidig med at de skjuler den faktiske placering af deres infrastruktur.
Da mange sikkerhedsværktøjer primært fokuserer på IPv4-trafik og domænebaseret analyse, kan denne IPv6-baserede metode skabe yderligere blinde vinkler for forsvarere.
Kombinationen af misbrug af reverse DNS og IPv6-infrastruktur gør teknikken særligt effektiv til at omgå automatiserede filtreringssystemer.
Sikkerhedsfiltre ignorerer ofte infrastrukturdomaener
Mange e-mailsikkerhedssystemer er stærkt afhængige af analyser af domæners omdømme. Disse værktøjer vurderer blandt andet domænets registreringsalder, historiske aktivitet og tidligere forbindelser til ondsindet adfærd.
Infrastrukturdomaener som .arpa optræder sjældent i phishingdatabaser, fordi de bruges til tekniske netværksformål i stedet for offentlige websites.
Som følge heraf behandler nogle filtreringssystemer disse domæner som troværdige eller ignorerer dem helt under trusselsanalyse. Angribere udnytter denne antagelse til at lade phishinglinks passere automatiske sikkerhedssystemer.
Sikkerhedsforskere advarer om, at denne blinde vinkel kan gøre det muligt for phishingkampagner at sprede sig bredt, hvis organisationer ikke tilpasser deres detektionsstrategier.
Konklusion
.arpa-phishingangrebet viser, hvordan cyberkriminelle fortsætter med at udnytte oversete dele af internettets infrastruktur. Ved at misbruge reverse DNS-domæner og IPv6-adresser kan angribere omgå almindelige phishingforsvar uden at udnytte softwaresårbarheder.
Teknikken viser, at phishingkampagner ikke længere kun er afhængige af mistænkelige domæner eller nyregistrerede websites. I stedet manipulerer angribere i stigende grad legitime netværksprotokoller for at undgå opdagelse.
Organisationer bør derfor udvide deres overvågningsstrategier til at inkludere reverse DNS-aktivitet og usædvanlige IPv6-trafikmønstre. Bedre indsigt i infrastrukturbaseret aktivitet kan hjælpe sikkerhedsteams med at opdage disse angreb, før de når potentielle ofre.
0 svar til “.arpa-phishingangreb bruger IPv6 til at omgå e-mailsikkerhed”