SubdoMailing und das Aufkommen von Subdomain-Phishing

Blog

SubdoMailing ist eine neue Welle von Phishing-Angriffen, bei denen kompromittierte Subdomänen legitimer Marken genutzt werden, um groß angelegte E-Mail-Marketingkampagnen zu starten.

von YunesTarada

Lesezeit: 7 min
SubdoMailing und das Aufkommen von Subdomain-Phishing
Inhaltsverzeichnis-

Guardio Labs stieß auf einen schwerwiegenden Fall von Subdomain-Hijacking, von dem Tausende von Subdomains betroffen waren. Sie prägten den Begriff "SubdoMailing", um diese Angriffskette zu beschreiben, bei der die bedrohten Subdomains namhafter Unternehmen zum Versenden bösartiger E-Mails genutzt werden. Die Ermittlungen ergaben, dass die bösartige Kampagne seit 2022 aktiv ist. 

SubdoMailing kann als eine weiterentwickelte Form des Social-Engineering-Angriffs betrachtet werden, die sich die Zuverlässigkeit bekannter Subdomains zunutze macht. Die Angreifer führen diese bösartige Kampagne in großem Maßstab durch, indem sie Millionen von Phishing-E-Mails von den gekaperten Subdomains aus versenden. 

Wichtigste Erkenntnisse

  1. Die SubdoMailing-Attacke nutzt gekaperte Subdomains seriöser Marken aus, um Phishing-E-Mails im großen Stil zu versenden.
  2. Inaktive Subdomänen mit fehlerhaften DNS-Einträgen sind besonders anfällig und können zu einem bevorzugten Ziel für Angreifer werden.
  3. Angreifer können SPF-Einträge so manipulieren, dass sie ihre eigenen Server autorisieren und so authentifizierte Phishing-E-Mails versenden können.
  4. Die Überwachung und Verwaltung Ihrer DNS-Einträge und SPF-Konfigurationen ist entscheidend, um Subdomain-Hijacking zu verhindern.
  5. Proaktive Sicherheitsmaßnahmen, einschließlich regelmäßiger Überprüfungen von Subdomänen und E-Mail-Versandpraktiken, sind für den Schutz vor solchen Angriffen unerlässlich.

Subdomain-Hijacking erklärt

Beim Subdomain-Hijacking übernehmen Angreifer die Kontrolle über eine Subdomain, die mit einer legitimen Root-Domain verbunden ist, die dann zum Nährboden für verschiedene bösartige Aktivitäten wird. Die gekaperte Subdomain kann genutzt werden, um Phishing-Kampagnen zu starten, unangemessene Inhalte zu verbreiten, illegale Substanzen zu verkaufen oder Ransomware zu verbreiten.

Oftmals liegen inaktive Subdomains über lange Zeiträume hinweg brach. Was noch gefährlicher ist: Diese Subdomänen haben baumelnde DNS-Einträge die den Weg für Subdomain-Hijacking ebnen. Wenn ein Angreifer erst einmal die Kontrolle über diese Subdomänen übernommen hat, kann er sich viel erlauben!

Wenn Sie einen Domänennamen mit mehreren Subdomänen betreiben, ist es leicht, sich den Rücken zuzuwenden und die Türen unverschlossen zu lassen. Unabhängig davon, ob Sie ein Unternehmen oder eine kleine Firma sind, kann die mangelnde Absicherung Ihrer Subdomains zu Vorfällen wie SubdoMailing oder anderen Formen des Subdomain-Missbrauchs führen. 

Vereinfachen Sie die Sicherheit mit PowerDMARC!

15-Tage-TestDemo buchen

Wie funktionieren die SubdoMailing-Angriffe?

Ein Artikel von Guardio heißt es, dass das Unternehmen verdächtigen E-Mail-Verkehr entdeckt hat, der von Tausenden von scheinbar legitimen Subdomänen bekannter Marken ausging. Darunter waren große Namen wie MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay und viele mehr!

Diese E-Mails gaukelten den Nutzern eine gewisse Dringlichkeit vor und verleiteten sie dazu, auf kompromittierende Links zu klicken. Diese leiteten die Benutzer auf eine Reihe von schädlichen Zielen um. Die Bandbreite reichte von invasiver Werbung bis hin zu gefährlicheren Phishing-Websites, die auf den Diebstahl sensibler Daten abzielten. 

SubdoMailing Beispiel

Subdomain-Übernahme

Quelle

Das oben gezeigte Beispiel ist ein klassischer Fall von SubdoMailing, der von Guardio entdeckt wurde. E-Mails, die von einer kompromittierten Cash App-Subdomain stammten, wurden an Millionen von Nutzern verschickt. Diese E-Mail enthielt eine Warnmeldung zur Bestätigung ausstehender Überweisungen auf ihre Cash App-Konten. Die E-Mail enthielt mehrere potenziell bösartige Weiterleitungen.

Bösartige E-Mail-Anhänge und sorgfältig gestaltete Links sind nur schwer zu ignorieren. Vor allem, wenn sie mit einer Warnmeldung verbunden sind, die sofortige Aufmerksamkeit verlangt. In solchen Situationen ist es natürlich sehr wahrscheinlich, dass die Nutzer auf die Links klicken und Opfer eines Cyberangriffs werden. 

Eigenschaften und Merkmale des SubdoMailing-Angriffs  

SubdoMailing-Angriffe können aufgrund ihrer einzigartigen Merkmale hohe Erfolgsquoten aufweisen. Guardio erklärt, dass SubdoMailing sehr ausgeklügelte Taktiken anwendet, um legitime Subdomains von so beliebten Markennamen zu manipulieren. Diese Angriffe waren sehr schwer zu erkennen und erforderten eine gründliche Untersuchung durch die Cybersicherheitsexperten von Guardio. 

Warum SubdoMailing-Angriffe eine hohe Erfolgsquote haben können

Wir sehen in SubdoMailing-Angriffen ein echtes Potenzial, mehreren ahnungslosen Nutzern ernsthaften Schaden zuzufügen, und zwar aufgrund der folgenden Merkmale: 

  1. Nachahmung bekannter Marken mit einem guten Ruf
  2. Betrieb in großem Maßstab durch Manipulation von mehr als 8000 Domains (Tendenz steigend)
  3. Umgehung von Spam-Filtern 
  4. Umgehung von E-Mail-Inhaltsfiltern durch Kuratieren glaubwürdiger bildbasierter Nachrichten
  5. Angreifer analysieren Ihren Gerätetyp und Standort, um gezieltere Angriffe zu starten 
  6. Die bösartigen E-Mails bestanden E-Mail-Authentifizierung Prüfungen wie SPF, DKIM und DMARC

Wie umgehen SubdoMailing-Phishing-E-Mails die E-Mail-Authentifizierungsprüfungen?

Nehmen wir das Beispiel eines der von Guardio untersuchten Anwendungsfälle. Guardio fand mehrere Phishing-E-Mails, die von einer bestimmten Subdomäne von msn.com stammten. 

Bei näherer Betrachtung dieser bösartigen E-Mails stellte Guardio fest, dass sie von einem Server in der ukrainischen Stadt Kiew aus gesendet wurden. Im Idealfall wäre dies bei einer SPF-Prüfung als verdächtig eingestuft worden. SPF Prüfung als verdächtig markiert worden, es sei denn, die IP-Adresse des Servers war autorisiert. Bei der Überprüfung wurde festgestellt, dass eine Subdomäne von msn.com die verdächtige IP-Adresse autorisiert hatte.

Dies könnte einen der folgenden Gründe haben: 

  • Es könnte sich um eine Insider-Bedrohung handeln, bei der ein MSN-Mitarbeiter die IP-Adresse absichtlich für den Versand von Phishing-E-Mails autorisiert hat. 
  • Es könnte sich um einen einfachen Fall von menschlichem Versagen handeln, bei dem der Server aufgrund eines Tippfehlers versehentlich autorisiert wurde.
  • Es könnte sich um eine fortgeschrittene Form der DNS-Manipulation handeln, bei der die MSN-Subdomain von einer externen Bedrohung gekapert wurde, um den Server zu autorisieren

Eine weitere Untersuchung des SPF-Datensatzes für die Subdomain msn.com führte die Guardio-Experten in ein Kaninchenloch von 17826 verschachtelten IP-Adressen, die berechtigt sind, E-Mails im Namen der Domain zu versenden. Die schiere Komplexität des SPF-Eintrags deutete auf einen höchst verdächtigen, aber sorgfältig ausgearbeiteten Ansatz zur Manipulation von Authentifizierungsfiltern hin. Was noch wichtiger ist: Die Untersuchungen ergaben, dass diese MSN-Subdomäne über einen CNAME-DNS-Eintrag auf eine andere Domäne verwies. Sobald der Angreifer also die andere Domäne gekauft hatte, konnte er die MSN-Subdomäne kapern.

Wie haben die Angreifer dies erreicht? Das wollen wir herausfinden: 

Verwendung von inaktiven/aufgegebenen Subdomains für SubdoMailing

Guardio nutzte Internetarchive, um herauszufinden, ob die Subdomäne msn.com tatsächlich von MSN beansprucht wurde. Es stellte sich heraus, dass die Subdomain vor 22 Jahren aktiv war. Sie lag mehr als zwei Jahrzehnte lang brach - bis vor kurzem! 

Es ist also Folgendes passiert: 

  • Ein Bedrohungsakteur kaufte die Domäne, die mit der Subdomäne verknüpft war. Da der Link 22 Jahre später immer noch existierte, konnten sie die Domäne kapern. 
  • Jetzt konnten sie sie nach Belieben manipulieren! Die Angreifer autorisierten ihre eigenen Server im SPF-Eintrag der Subdomain, was es ihnen ermöglichte, authentifizierte Phishing-E-Mails im Namen der Subdomain zu versenden. 
  • Sie nutzten diese Gelegenheit, um Millionen von betrügerischen E-Mails unter dem Deckmantel von msn.com zu versenden und sich als legitime Absender auszugeben. 

SPF-Record-Manipulation für SubdoMailing

Im Fall von SubdoMailing befanden sich im SPF-Eintrag der gekaperten Subdomäne mehrere aufgegebene Domänen. Diese Domänen wurden erworben, um SMTP-Server im Besitz der Angreifer zu autorisieren. Aufgrund der Natur der SPF-Richtlinie autorisiert die Subdomäne schließlich alle diese vom Angreifer kontrollierten Server als legitime E-Mail-Absender. 

Der eigentliche Grund für die Verwendung von SPF ist die Autorisierung rechtmäßiger Absender. Dies ist besonders wichtig, wenn ein Unternehmen externe E-Mail-Anbieter für den Versand seiner E-Mails einsetzt. Dadurch wird auch die Möglichkeit ausgeschlossen, dass betrügerische Quellen E-Mails im Namen einer Domäne versenden. In diesem klassischen Fall von SPF-Datensatzmanipulation wurde der Vorteil der Verwendung von SPF zur Authentifizierung von E-Mails missbraucht, um böswillige Absender zu autorisieren. 

Verhinderung von SubdoMailing-Angriffen: Was können Unternehmen tun?

Eine fortgeschrittene Form des Subdomain-Hijacking-Angriffs wie SubdoMailing erfordert eine proaktive Präventionsstrategie. Hier ist, wie Sie beginnen können: 

Verhindern von unübersichtlichen DNS-Einträgen

DNS-Einträge, die auf Domänen zeigen, die dekonfiguriert sind, oder Server, die nicht mehr verwendet werden, können zu SubdoMailing führen. Stellen Sie sicher, dass Sie Ihre DNS-Einträge regelmäßig aktualisieren und keine veralteten Quellen zulassen. In Ihren DNS-Einträgen sollte nur auf aktive Domänen oder Server verwiesen werden, über die Sie die Kontrolle haben. Sie sollten auch sicherstellen, dass Ihre E-Mail-Anbieter ihre Versandlisten sauber halten und nicht mehr genutzte Server entfernen. 

Überwachung Ihrer E-Mail-Kanäle 

Es reicht nicht aus, DMARC-Berichte zu konfigurieren, man muss sie auch überwachen. Als Domäneninhaber sollten Sie sich jederzeit über Ihre E-Mail-Versandpraktiken im Klaren sein. Bei großen E-Mail-Volumina ist dies selbst mit einem dedizierten Postfach schwer zu erreichen. Aus diesem Grund benötigen Sie einen Drittanbieter wie PowerDMARC. Wir helfen Ihnen, Ihre Sendequellen und E-Mail-Aktivitäten auf einem cloudbasierten Dashboard mit erweiterten Filterfunktionen zu überwachen. Subdomains werden auf unserer Plattform automatisch erkannt, damit Sie sie genau im Auge behalten können. So können Sie jede verdächtige Aktivität sofort erkennen! 

Übernehmen Sie die Kontrolle über Ihre Subdomains 

Dies ist ein Weckruf, der Sie dazu aufruft, alle Ihre Sendequellen heute neu zu bewerten. Beginnen Sie mit der Durchführung einer SPF-Prüfung mit unserem kostenlosen Tool!

Überprüfen Sie die "Include"-Mechanismen in Ihrem SPF-Status, um Ihre eingeschlossenen Domains und Subdomains zu überprüfen. Diese Domänen hosten SPF-Einträge mit IP-Adressen, die berechtigt sind, E-Mails im Namen Ihrer Stammdomäne zu versenden. Wenn Sie eine Subdomain finden, die Sie nicht mehr verwenden, ist es an der Zeit, den "Include"-Eintrag für sie zu entfernen. Sie können Ihre DNS-Editierzone aufrufen, um die erforderlichen Änderungen vorzunehmen. 

Zusätzliche Tipps zum Schutz vor Cyberangriffen 

  • Stellen Sie sicher, dass Ihre CNAME-Einträge immer auf dem neuesten Stand sind, und deaktivieren oder entfernen Sie CNAME-Einträge, die Sie nicht mehr verwenden.
  • Vergewissern Sie sich, dass die SPF-Mechanismen in Ihrem Eintrag ebenfalls auf dem neuesten Stand sind, und entfernen Sie alle nicht mehr verwendeten Versanddienste.
  • Konfigurieren Sie Ihre legitimen Quellen so, dass sie DMARC-konforme E-Mails senden, und stellen Sie Ihre DMARC-Richtlinie so ein, dass sie für Ihre Domänen und Subdomänen abgelehnt wird. 
  • Schützen Sie Ihre geparkten Domains und Subdomains
  • Ungenutzte Subdomänen und DNS-Einträge entfernen
  • Überprüfen Sie kontinuierlich die von Ihren Domains und Subdomains gesendeten E-Mails, indem Sie Berichte für alle Domains, die Sie besitzen, einrichten.

Schützen Sie Ihre Domains mit PowerDMARC

PowerDMARC kann Ihnen helfen, Ihre Domainnamen zu sichern! Unsere Plattform wurde entwickelt, um Domaininhabern durch Transparenz und Überwachung die Kontrolle über ihre eigenen Domains zurückzugeben. Wir helfen Ihnen, Ihre Sendequellen und Ihren E-Mail-Verkehr im Auge zu behalten, indem wir Ihnen detaillierte Informationen über Ihre E-Mail-Aktivitäten zur Verfügung stellen. Dies hilft Ihnen, ungewöhnliche Muster in Ihrer Domainaktivität zu erkennen, böswillige IPs, die sich als Ihre Domain ausgeben, und sogar die geografischen Standorte der Server zu entdecken, die Ihren Markennamen fälschen. 

Beginnen Sie Ihre Reise zur Domainsicherheit mit uns, kontaktieren Sie uns und sprechen Sie noch heute mit einem Experten!

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Tipps zum sicheren Teilen von Fotos im InternetOnline-Foto-SharingKönnen Sie mehrere SPF-Einträge haben?