Хакеры начали активно использовать домен .arpa и обратный DNS IPv6, чтобы успешно обходить механизмы защиты от фишинга. Это создает новые вызовы для систем безопасности, так как обычные проверки репутации доменов и шлюзов электронной почты не могут препятствовать таким атакам.
Что происходит
Домен .arpa используется в интернете для обратных DNS-запросов, которые позволяют сопоставлять IP-адреса с именами хостов. В основном, домен in-addr.arpa используется для IPv4, в то время как для IPv6 применяется ip6.arpa. Хакеры манипулируют своим IPv6-пространством, настраивая DNS-записи для фишинговых сайтов, делая их трудноотличимыми от легитимных, и тем самым обходят защиту.
По этим Infoblox, злонамеренные актеры используют репутационные DNS-провайдеры, такие как Hurricane Electric и Cloudflare, для создания DNS-записей, связанных с их фишинговыми атаками. Это приводит к тому, что жертвы не могут вовремя обнаружить источник угрозы, даже если им удается навести порядок в своих системах безопасности.
Методы атак
Злоумышленники сначала получают блок IPv6-адресов через сервисы туннелирования. Затем они создают обратные DNS-хосты с использованием случайных поддоменов, что затрудняет обнаружение их фальшивых записей. Вместо ожидаемых PTR записей хакеры устанавливают A записи, указывающие на их фишинговые сайты.
Фишинговые письма содержат заманчивые предложения — например, о призах или наградах — и используют изображения, которые ссылаются на обратные DNS-записи, такие как "d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa" вместо привычных доменных имен. Это скрывает их истинную природу от жертв.
И что это значит для пользователей
Для IT-специалистов и корпоративных пользователей важно осознавать эти новые техники обхода защиты. Хакеры становятся все более изобретательными и используют менее традиционные методы для атаки на своих жертв. Рекомендуется обновить фильтры безопасности и проводить обучение сотрудников по распознаванию фишинговых угроз.
Что касается будущего, подобные инциденты подчеркивают необходимые изменения в подходе к защите DNS. Корпорации и поставщики услуг должны укрепить свои системы защиты, чтобы не стать жертвой таких хитроумных методов мошенничества.