Thought Leadership
Phishing-Kampagnen folgen häufig bekannten Mustern: gefälschte Login-Seiten, täuschend echte E-Mails und manipulierte Links. Doch aktuelle Analysen von Infoblox zeigen eine ungewöhnliche Entwicklung.
Cyberkriminelle missbrauchen gezielt einen Kernbereich der Internet-Infrastruktur, um Sicherheitsmechanismen zu umgehen. Im Fokus steht dabei die Top-Level-Domain .arpa, die eigentlich für technische Zwecke im Domain Name System vorgesehen ist.
Im Gegensatz zu bekannten Domains wie .com oder .net dient .arpa nicht der Bereitstellung klassischer Webseiten. Sie wird im DNS vor allem für sogenannte Reverse-DNS-Einträge genutzt, also zur Zuordnung von IP-Adressen zu Domainnamen.
Genau hier setzen Angreifer an. Sie legen manipulierte Reverse-DNS-Einträge an und nutzen diese, um schädliche Inhalte bereitzustellen. Da viele Sicherheitslösungen diesen Bereich nicht als potenzielle Quelle für Webinhalte betrachten, bleibt die Aktivität häufig unter dem Radar.
IPv6-Tunnel als Verstärker
Ein Element der Methode ist der Einsatz von IPv6-Tunneln. Diese Technik wurde ursprünglich entwickelt, um IPv6-Kommunikation in reinen IPv4-Umgebungen zu ermöglichen. In den beobachteten Kampagnen verschaffen sich Angreifer darüber jedoch eine Vielzahl an IP-Adressen, die sie flexibel für ihre Infrastruktur einsetzen können.
Durch die Kombination aus IPv6-Tunneln und manipulierten .arpa-Einträgen entsteht ein schwer erkennbares Geflecht aus Adressen und Weiterleitungen. Klassische Filtermechanismen, die auf Domain-Reputation oder typischen URL-Strukturen basieren, greifen hier oft nicht.
Phishing mit versteckten Zieladressen
Die betrügerischen E-Mails geben sich als Nachrichten bekannter Marken aus. Versprochen werden etwa Gewinnspiele oder kostenlose Prämien. Auffällig ist, dass die Nachrichten meist nur aus einem einzigen Bild bestehen. In dieses Bild ist ein Hyperlink eingebettet, der für Empfänger nicht direkt sichtbar ist.
Nach dem Klick erfolgt die Weiterleitung über sogenannte Traffic-Distribution-Systeme. Diese Systeme steuern, wohin das Opfer letztlich gelangt, etwa auf eine gefälschte Login-Seite. Die eigentliche Zieladresse bleibt dabei verschleiert. Die verwendeten .arpa-basierten Zeichenfolgen erscheinen nicht offen in der angezeigten URL.
Sicherheitsstrategien müssen sich anpassen
Die Erkenntnisse verdeutlichen, dass nicht nur sichtbare Domains, sondern auch grundlegende DNS-Strukturen als potenzielle Angriffsfläche betrachtet werden müssen. Wenn Infrastruktur-Bereiche wie .arpa für Phishing missbraucht werden, verschiebt sich der Fokus der Verteidigung.
Für IT-Sicherheitsteams bedeutet das, die DNS-Ebene stärker zu überwachen und Anomalien frühzeitig zu erkennen. Transparenz innerhalb der eigenen Netzwerkinfrastruktur wird damit zu einem entscheidenden Faktor, um neuartige Angriffstechniken rechtzeitig zu identifizieren. Unternehmen sind daher gefordert, ihre Sicherheitskonzepte kontinuierlich anzupassen, nicht nur auf Anwendungsebene, sondern bis hinein in die Grundstruktur des Internets selbst.
