- Peretas menyalahgunakan domain .arpa untuk menyembunyikan serangan phishing secara efektif
- Email phishing meniru merek tepercaya untuk mengelabui pengguna agar mengungkapkan kredensial
- Rentang alamat IPv6 memberi penyerang kendali atas subdomain .arpa yang berbahaya
Jenis serangan phishing baru terlihat mengeksploitasi domain .arpa, bagian dari internet yang biasanya digunakan untuk fungsi jaringan penting daripada situs web.
Berbeda dengan domain yang lebih dikenal seperti .com atau .net, .arpa membantu komputer mencocokkan alamat IP dengan nama domain, sebuah proses yang disebut DNS terbalik.
Namun penelitian baru dari Infoblox Ancaman Intel mengklaim penyerang sekarang menggunakan ruang ini untuk menghosting halaman phishing sambil menghindari pemeriksaan keamanan standar.
Mengapa menyalahgunakan .arpa merupakan ancaman serius
“Saat kami melihat penyerang menyalahgunakan .arpa, mereka sedang mempersenjatai inti internet,” kata Dr. Renée Burton, VP Infoblox Threat Intel.
Dia menjelaskan .arpa tidak pernah dimaksudkan untuk menghosting situs web, sehingga banyak sistem keamanan tidak memantaunya dengan cermat, dan dengan menggunakannya untuk mengirimkan halaman berbahaya, penyerang dapat melewati pertahanan yang mengandalkan nama domain yang dikenal atau pola URL yang umum.
Serangan ini bekerja dengan IPv6, jenis alamat internet terbaru. Penjahat dunia maya mendapatkan kendali atas serangkaian alamat dan kemudian mengonfigurasinya agar mengarah ke server yang menampung halaman phishing.
Dalam beberapa kasus, alamat ini dikelola melalui layanan seperti Cloudflare, yang menyembunyikan lokasi sebenarnya dari konten berbahaya.
Beberapa Penyedia DNS bahkan mengizinkan pengguna untuk mengelola domain .arpa dengan cara yang tidak pernah dimaksudkan hosting web.
Hal ini memungkinkan penyerang untuk melampirkan konten berbahaya ke entri yang biasanya tidak mengarah ke situs web.
Penyalahgunaan juga melibatkan terowongan IPv6 gratis, yang menyediakan akses administratif ke rentang alamat yang luas meskipun terowongan itu sendiri tidak digunakan untuk transit data.
Konten berbahaya dikirimkan melalui email phishing, yang sering kali meniru merek terkenal dan menjanjikan imbalan seperti “hadiah gratis” atau hadiah agar pesan tampak sah.
Ketika pengguna mengklik gambar atau link di email, pengguna diarahkan ke situs web palsu yang menangkap detail login atau informasi sensitif lainnya.
Email tersebut berfungsi sebagai umpan, alamat .arpa yang tidak biasa tetap tersembunyi di latar belakang, sehingga URL yang terlihat tampak normal.
Karena .arpa penting untuk operasi DNS, kecil kemungkinan domainnya diblokir secara otomatis.
Penyerang juga membuat alamat unik dan sulit dideteksi dengan menambahkan subdomain acak, sehingga menyulitkan sistem keamanan untuk mengidentifikasinya.
Metode serangan ini menunjukkan bahwa penjahat dunia maya tidak perlu mengeksploitasi kelemahan perangkat lunak untuk berhasil.
Dengan menggunakan kembali mekanisme internet yang ada secara kreatif, mereka dapat mengelabui pengguna agar memberikan kredensial melalui saluran yang tampaknya sah.
Burton memperingatkan bahwa para pembela HAM perlu memperlakukan infrastruktur DNS sebagai “real estat bernilai tinggi bagi penyerang” dan memantau semua titik penyalahgunaan yang mungkin terjadi.
Organisasi dapat mengurangi risiko dengan melakukan pengetatan firewall aturan, menegakkan perlindungan identitas kebijakan, dan memastikan cepat penghapusan malware jika serangan berhasil.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
