Le domaine .arpa n’est pas un nom de domaine ordinaire comme .com ou .be. Il s’agit d’un domaine de premier niveau spécial réservé à l’infrastructure Internet. Il est principalement utilisé pour ce qu’on appelle les recherches DNS inversées : celles-ci permettent de traduire une adresse IP en un nom d’hôte. Avec IPv4, cela se fait via in-addr.arpa, tandis qu’IPv6 utilise ip6.arpa. Lors d’une telle recherche, l’adresse IP est écrite à l’envers, puis ajoutée au domaine .arpa. Cette technique est désormais détournée à des fins de phishing.
Système utilisé à des fins de hameçonnage
Des chercheurs d’Infoblox ont repéré une campagne de phishing dans laquelle les pirates utilisaient le domaine ip6.arpa. Normalement, ces zones DNS inversées ne contiennent que des enregistrements PTR, qui associent une adresse IP à un nom d’hôte. Mais les attaquants ont découvert que, lorsqu’ils contrôlent leur propre bloc d’adresses IPv6, ils peuvent parfois configurer d’autres enregistrements DNS dans cette zone. Cela leur permet de rediriger des domaines DNS inversés vers des serveurs de phishing.
Pour ce faire, les pirates obtiennent d’abord un bloc d’adresses IPv6 via des services dits de « tunneling ». Ils génèrent ensuite automatiquement un grand nombre de noms d’hôtes DNS inversés à partir de ces adresses. Ces sous-domaines sont souvent aléatoires et donc difficiles à détecter ou à bloquer. Au lieu des enregistrements PTR attendus, les attaquants créent des enregistrements A qui renvoient vers une infrastructure de phishing.
Liens de phishing dissimulés dans des images
Dans les e-mails de hameçonnage, les victimes sont attirées par des messages concernant des prix, des sondages ou des notifications relatives à leur compte. Les liens sont souvent dissimulés dans des images. Ceux-ci renvoient vers un domaine IPv6 inversé, par exemple une longue série de chiffres et de lettres se terminant par ip6.arpa. Comme le lien se trouve derrière une image, les victimes ne remarquent généralement pas ce nom de domaine inhabituel. Lorsqu’une personne clique sur l’image, le nom DNS est d’abord résolu via un fournisseur d’accès. Dans certains cas, les serveurs de noms sont même hébergés via Cloudflare, ce qui rend la véritable plateforme de phishing encore plus difficile à identifier.
Après avoir cliqué, le visiteur est souvent redirigé vers ce qu’on appelle un système de répartition du trafic (TDS). Ce système vérifie notamment le type d’appareil, l’adresse IP et d’autres caractéristiques afin de déterminer si le visiteur constitue une cible intéressante. Ce n’est que dans ce cas que l’utilisateur est redirigé vers la page de phishing. Sinon, il est par exemple redirigé vers un site web légitime.
Autres techniques pour échapper à la détection
Les liens de phishing ne restent généralement actifs que quelques jours. Passé ce délai, ils redirigent vers des pages d’erreur ou vers de véritables sites web. Cela complique le travail des experts en sécurité. De plus, le domaine .arpa ne contient pas de données d’enregistrement classiques telles que les informations WHOIS, l’ancienneté du domaine ou les coordonnées. Or, de nombreux outils de sécurité s’appuient justement sur ces informations pour identifier les domaines suspects.
Les chercheurs ont également observé d’autres techniques utilisées dans le cadre de cette même campagne, telles que le détournement d’enregistrements CNAME et le « shadowing » de sous-domaines. Cette dernière technique consiste à détourner des sous-domaines d’organisations légitimes pour diffuser du contenu de phishing. Selon Infoblox, plus d’une centaine de cas ont déjà été détectés, dans lesquels des sous-domaines d’organismes publics, d’universités, d’opérateurs télécoms, de médias et de détaillants ont été utilisés à cette fin.
Comme pour de nombreuses attaques de phishing, la règle d’or reste la même : ne cliquez pas sans réfléchir sur les liens contenus dans des e-mails inattendus. Il vaut mieux vous rendre directement sur le site officiel d’un service en saisissant vous-même l’adresse dans votre navigateur.
