Säkerhetsforskare har upptäckt en ny phishingteknik som utnyttjar förbisedda delar av internets infrastruktur. Den så kallade .arpa-phishingattacken missbrukar omvända DNS-poster och IPv6-adressering för att kringgå traditionella system för phishingdetektion. Genom att manipulera infrastrukturdomaner som normalt används för nätverksdrift kan angripare dölja skadliga länkar i e-postmeddelanden och undvika vanliga säkerhetsfilter.
Metoden bygger inte på skadlig kod eller programvarusårbarheter. I stället missbrukar angripare legitima internetprotokoll som många säkerhetsverktyg sällan granskar. Forskare varnar för att detta tillvägagångssätt gör det lättare för phishingkampanjer att kringgå system som analyserar domäners rykte och därmed nå potentiella offer.
Omvänd DNS-infrastruktur blir ett attackverktyg
Attacken kretsar kring domänen .arpa, som har en särskild roll i internets domännamnssystem. Domänen används för omvända DNS-uppslagningar, där IP-adresser översätts till värdnamn som används i nätverksinfrastruktur.
Två huvudsakliga domäner stöder denna funktion:
- in-addr.arpa, som hanterar omvända DNS-uppslagningar för IPv4-adresser
- ip6.arpa, som hanterar motsvarande funktion för IPv6-adresser
Dessa domäner var aldrig avsedda att användas för vanliga webbplatser eller phishinginnehåll. Angripare har dock upptäckt att omvända DNS-poster kan manipuleras på sätt som många säkerhetsverktyg förbiser.
Genom att missbruka dessa infrastrukturdomaner kan hotaktörer maskera skadliga länkar så att de framstår som legitima för vissa filtreringssystem.
Hur attacken fungerar
Forskare har observerat phishingkampanjer där länkar pekar mot adresser som liknar omvända DNS-poster i stället för traditionella domännamn. Dessa länkar förekommer i phishingmejl som utger sig för att komma från betrodda organisationer.
När ett offer klickar på länken gör systemet en omvänd DNS-uppslagning och ansluter till angriparens server. Servern omdirigerar därefter användaren till en phishingwebbplats som försöker stjäla inloggningsuppgifter eller annan känslig information.
Eftersom länken använder infrastruktur-baserad adressering i stället för ett vanligt domännamn klassificerar vissa säkerhetsverktyg inte länken som misstänkt.
Angripare gömmer dessutom ofta länkarna i bilder eller inbäddade element i mejlet för att ytterligare minska risken för upptäckt.
IPv6-infrastruktur hjälper till att dölja skadliga servrar
.arpa-phishingattacken fungerar ofta tillsammans med IPv6-infrastruktur. Angripare kan sätta upp phishingservrar med IPv6-adresser som förekommer mer sällan i traditionella övervakningssystem.
Vissa kampanjer använder även IPv6-tunnlingstjänster. Dessa tjänster gör det möjligt för angripare att hosta phishingwebbplatser samtidigt som de döljer den verkliga platsen för sin infrastruktur.
Eftersom många säkerhetsverktyg främst fokuserar på IPv4-trafik och domänbaserad analys skapar denna IPv6-baserade metod ytterligare blinda fläckar för försvarare.
Kombinationen av missbruk av omvänd DNS och IPv6-infrastruktur gör tekniken särskilt effektiv när det gäller att kringgå automatiserade filtreringssystem.
Säkerhetsfilter ignorerar ofta infrastrukturdomaner
Många e-postsäkerhetssystem förlitar sig starkt på analyser av domäners rykte. Dessa verktyg granskar bland annat domänens registreringsålder, historiska aktivitet och tidigare kopplingar till skadlig verksamhet.
Infrastrukturdomaner som .arpa förekommer sällan i phishingdatabaser eftersom de normalt används för tekniska nätverksfunktioner snarare än publika webbplatser.
Som följd behandlar vissa filtreringssystem dessa domäner som pålitliga eller ignorerar dem helt i sina analyser. Angripare utnyttjar detta antagande för att låta phishinglänkar passera automatiska försvarssystem.
Säkerhetsforskare varnar för att denna blinda fläck kan göra det möjligt för phishingkampanjer att spridas brett om organisationer inte anpassar sina detektionsstrategier.
Slutsats
.arpa-phishingattacken visar hur cyberkriminella fortsätter att utnyttja förbisedda delar av internets infrastruktur. Genom att missbruka omvända DNS-domäner och IPv6-adresser kan angripare kringgå vanliga phishingförsvar utan att utnyttja programvarusårbarheter.
Tekniken visar att phishingkampanjer inte längre enbart är beroende av misstänkta domäner eller nyregistrerade webbplatser. I stället manipulerar angripare allt oftare legitima nätverksprotokoll för att undvika upptäckt.
Organisationer bör därför utöka sina övervakningsstrategier till att inkludera omvänd DNS-aktivitet och ovanliga IPv6-trafikmönster. Bättre insyn i infrastrukturrelaterad aktivitet kan hjälpa säkerhetsteam att upptäcka sådana attacker innan de når sina mål.
0 svar till ”.arpa-phishingattack använder IPv6 för att kringgå e-postsäkerhet”