Bedrohungsakteure setzen auf eine raffinierte Methode: Sie missbrauchen die spezielle .arpa-Domain sowie IPv6-Reverse-DNS, um Phishing-Kampagnen zu starten, die herkömmliche Email-Sicherheitsmechanismen leichter umgehen.
Die .arpa-Domain ist eine reservierte Top-Level-Domain für Internet-Infrastruktur. Sie dient normalerweise für Reverse-DNS-Lookups, mit denen Systeme IP-Adressen wieder Hostnamen zuordnen. IPv4 nutzt dafür in-addr.arpa, während IPv6 ip6.arpa verwendet.
Forschern von Infoblox zufolge haben Angreifer eine Sicherheitslücke entdeckt: Wenn sie einen eigenen IPv6-Adressbereich reservieren, können sie die Reverse-DNS-Zone missbrauchen und zusätzliche DNS-Einträge für Phishing-Seiten konfigurieren. Statt der erwarteten PTR-Einträge erstellen die Kriminellen A-Einträge, die auf Phishing-Infrastruktur verweisen.
Besonders tückisch: “Wir haben Bedrohungsakteure beobachtet, die Hurricane Electric und Cloudflare missbrauchen – beide genießen hohe Reputation, was Angreifer ausnutzen”, erklärt Infoblox. “Wir bestätigten, dass auch andere DNS-Provider solche Konfigurationen ermöglichen.”
Um die Infrastruktur aufzubauen, beschaffen sich Angreifer zunächst IPv6-Adressblöcke über IPv6-Tunneling-Services. Nach Kontrolle über den Adressbereich generieren sie Reverse-DNS-Hostnamen mit zufälligen Subdomains, die schwer zu erkennen sind.
Die Phishing-Emails nutzen ansprechende Köder – Preisversprechen, Umfragebelohnungen oder Kontobenachrichtigungen. Die Links sind als Reverse-IPv6-DNS-Einträge eingebettet (beispielsweise “d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa”), wodurch Nutzer keine verdächtige .arpa-Domain bemerken.
Wenn Opfer auf den Link klicken, werden sie durch ein Traffic-Distribution-System (TDS) geleitet, das prüft, ob es sich um ein valides Ziel handelt – basierend auf Gerätetyp, IP-Adresse und anderen Kriterien. Nach erfolgreicher Validierung landen Nutzer auf der Phishing-Seite, andernfalls auf legitimen Websites.
Besonders raffiniert: Die Links sind kurzlebig und funktionieren nur wenige Tage. Danach leiten sie zu Fehlerseiten weiter – ein Trick, um Security-Forschern die Analyse zu erschweren.
Da .arpa zur Internet-Infrastruktur gehört, fehlen die üblichen Daten registrierter Domains wie WHOIS-Informationen oder Kontaktdaten. Das macht es Email-Gateways und Sicherheitstools erheblich schwerer, böswillige Domains zu identifizieren.
Infoblox-Forscher beobachteten auch zusätzliche Techniken: Angreifer hijackten verwaiste CNAME-Einträge und nutzten Subdomain-Shadowing, um Phishing-Content über Subdomains legitimer Organisationen zu verbreiten. “Wir fanden über 100 Fälle, in denen Angreifer CNAMEs von bekannten Regierungsbehörden, Universitäten, Telekommunikationsunternehmen, Medienunternehmen und Einzelhandelsketten kaperten.”
Durch die Zweckentfremdung vertrauenswürdiger Reverse-DNS-Funktionen können Angreifer Phishing-URLs generieren, die traditionelle Erkennungsmethoden umgehen.
Experten raten: Die beste Schutzmaßnahme bleibt, auf unerwartete Links in Emails zu verzichten und Dienste stattdessen direkt über offizielle Websites aufzurufen.