Hogyan élnek vissza a bűnözők az ip6.arpa tartománnyal?
Hackerek felfedezték, hogy ha sikerül saját IPv6-címtartományt szerezniük, akkor annak visszafordított DNS-zónája felett ők rendelkeznek, vagyis tetszőleges DNS-rekordokat állíthatnak be a tartományban. Eredetileg ezek a visszafordított domainek PTR-rekordokat tartalmaznak, de egyes DNS-szolgáltatók – például a nagy hírnévvel bíró Hurricane Electric vagy Cloudflare – lehetővé tették, hogy A-rekordot is létrehozzanak bennük, amit az átverők ügyesen ki is használnak adathalász-célokra.
Következésképpen a támadók saját IPv6-tartományuk segítségével egyedi, nehezen felismerhető reverz DNS-hosztneveket generálnak, majd ezekhez A-rekordokkal a csalárd szervereikre mutató irányítást állítanak be. Adathalász e-mailekben ehhez hasonló címeket használnak: „d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa” — az átlagos felhasználó számára ez nem feltűnő, hiszen nem egy tipikus cím.
A csalás működése és a védelmi kihívások
Az így felépített rendszerben az áldozatok egy álomnyereményt, kérdőíves jutalmat vagy fiókértesítést ígérő hivatkozást kapnak e-mailben, amely a trükkös .arpa tartományra mutat. A linkre kattintva a böngésző vagy e-mail kliens egy DNS-szolgáltató révén, sokszor a Cloudflare-on át oldja fel a címet – így a valódi szerver címét is el lehet rejteni. Ezután az úgynevezett forgalomelosztó rendszer (traffic distribution system, TDS) dönt arról, hogy a felhasználót érdemes-e továbbterelni az adathalászoldalra. Ha a gyanútlan áldozat megfelel a támadók feltételeinek (például telefon típusa vagy IP-cím alapján), a rendszer rögtön egy csaló oldalra viszi, különben egy ártalmatlan weboldal nyílik meg.
A támadás egyik további védelmi rétege, hogy ezek a hivatkozások csak néhány napig aktívak: utána vagy hibára futnak, vagy ártalmatlan oldalakra mutatnak, ezzel is megnehezítve a nyomozók dolgát.
Miért olyan hatékony ez a módszer?
Az .arpa domain – mint az internet infrastruktúrájának eleme – nem tartalmazza a hagyományos webcímeknél szokásos nyilvántartási adatokat (például WHOIS-információ, domainéletkor, kapcsolattartó), így a vállalati e-mailbiztonsági rendszerek nehezebben szűrik ki a támadó domaineket. Emellett a csalók szívesen használnak feltört CNAME-rekordokat is jól ismert szervezetek – például állami hivatalok, egyetemek vagy távközlési cégek – nevében, így a hivatkozás látszólag megbízhatónak tűnik.
Következésképpen az ismert védelmi rendszereket könnyebben kikerülik, mivel olyan eszközökkel dolgoznak, amelyekre a klasszikus szűrők nincsenek felkészítve.
Hogyan védekezzünk?
Az ilyen átverések ellen a leghatékonyabb védekezés továbbra is az, ha nem kattintunk váratlan e-mailes hivatkozásokra, és közvetlenül a hivatalos weboldalakon keresztül intézzük ügyeinket.
