Cybercriminelen hebben een nieuwe techniek gevonden om phishingcampagnes moeilijker detecteerbaar te maken. Daarbij maken ze misbruik van het speciale .arpa-domein en van IPv6 reverse DNS. Volgens onderzoekers kunnen zulke links makkelijker door spamfilters en beveiligingssystemen glippen.
Het .arpa-domein is geen gewone domeinnaam zoals .com of .be. Het is een speciaal top-level domein dat gereserveerd is voor internetinfrastructuur. Het wordt vooral gebruikt voor zogenaamde reverse DNS-opzoekingen: daarbij wordt een IP-adres vertaald naar een hostnaam. Bij IPv4 gebeurt dat via in-addr.arpa, terwijl IPv6 ip6.arpa gebruikt. Bij zo’n opzoeking wordt het IP-adres omgekeerd geschreven en daarna aan het .arpa-domein toegevoegd. Dat wordt nu misbruikt voor phishing.
Onderzoekers van Infoblox zagen een phishingcampagne waarin aanvallers het ip6.arpa-domein inzetten. Normaal bevatten deze reverse DNS-zones alleen PTR-records, die een IP-adres koppelen aan een hostnaam. Maar aanvallers ontdekten dat ze, wanneer ze controle hebben over een eigen IPv6-adresblok, soms ook andere DNS-records kunnen configureren in die zone. Daardoor kunnen ze reverse DNS-domeinen laten verwijzen naar phishingservers.
Om dat mogelijk te maken, verkrijgen de aanvallers eerst een blok IPv6-adressen via zogenaamde tunnelingdiensten. Daarna genereren ze automatisch een groot aantal reverse DNS-hostnamen op basis van die adressen. Die subdomeinen zijn vaak willekeurig en daardoor moeilijk te detecteren of te blokkeren. In plaats van de verwachte PTR-records maken de aanvallers A-records die naar phishinginfrastructuur verwijzen.
In de phishingmails worden slachtoffers gelokt met berichten over prijzen, enquêtes of accountmeldingen. De links zitten vaak verborgen in afbeeldingen. Die verwijzen naar een reverse IPv6-domein, bijvoorbeeld een lange reeks cijfers en letters die eindigt op ip6.arpa. Omdat de link achter een afbeelding zit, zien slachtoffers die vreemde domeinnaam meestal niet. Wanneer iemand op de afbeelding klikt, wordt de DNS-naam eerst via een provider opgelost. In sommige gevallen worden de naamservers zelfs gehost via Cloudflare, waardoor het echte phishingplatform nog moeilijker te achterhalen is.
Na de klik komt de bezoeker vaak eerst terecht bij een zogenoemd Traffic Distribution System (TDS). Dat systeem controleert onder meer het type toestel, IP-adres en andere kenmerken om te bepalen of de bezoeker een interessant doelwit is. Alleen als dat zo is, wordt de gebruiker doorgestuurd naar de phishingpagina. Anders wordt hij bijvoorbeeld naar een legitieme website gestuurd.
De phishinglinks blijven meestal maar enkele dagen actief. Daarna verwijzen ze naar foutmeldingen of naar echte websites. Dat bemoeilijkt onderzoek door beveiligingsexperts. Daarnaast bevat het .arpa-domein geen klassieke registratiedata zoals WHOIS-informatie, domeinleeftijd of contactgegevens. Veel beveiligingstools gebruiken net die informatie om verdachte domeinen te herkennen.
De onderzoekers zagen ook andere technieken in dezelfde campagne, zoals het kapen van CNAME-records en subdomain shadowing. Daarbij worden subdomeinen van legitieme organisaties misbruikt om phishingcontent te verspreiden. Volgens Infoblox werden zo al meer dan honderd gevallen ontdekt waarbij subdomeinen van overheidsinstellingen, universiteiten, telecombedrijven, mediabedrijven en retailers werden ingezet.
Zoals bij veel phishingaanvallen blijft de belangrijkste regel dezelfde: klik niet zomaar op links in onverwachte e-mails. Ga liever rechtstreeks naar de officiële website van een dienst door zelf het adres in je browser te typen.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
