Guardio Labs stieß auf einen schwerwiegenden Fall von Subdomain-Hijacking, von dem Tausende von Subdomains betroffen waren. Sie prägten den Begriff "SubdoMailing", um diese Angriffskette zu beschreiben, bei der die bedrohten Subdomains namhafter Unternehmen zum Versenden bösartiger E-Mails genutzt werden. Die Ermittlungen ergaben, dass die bösartige Kampagne seit 2022 aktiv ist.
SubdoMailing kann als eine weiterentwickelte Form des Social-Engineering-Angriffs betrachtet werden, die sich die Zuverlässigkeit bekannter Subdomains zunutze macht. Die Angreifer führen diese bösartige Kampagne in großem Maßstab durch, indem sie Millionen von Phishing-E-Mails von den gekaperten Subdomains aus versenden.
Subdomain-Hijacking erklärt
Beim Subdomain-Hijacking übernehmen Angreifer die Kontrolle über eine Subdomain, die mit einer legitimen Root-Domain verbunden ist, die dann zum Nährboden für verschiedene bösartige Aktivitäten wird. Die gekaperte Subdomain kann genutzt werden, um Phishing-Kampagnen zu starten, unangemessene Inhalte zu verbreiten, illegale Substanzen zu verkaufen oder Ransomware zu verbreiten.
Oftmals liegen inaktive Subdomains über lange Zeiträume hinweg brach. Was noch gefährlicher ist: Diese Subdomänen haben baumelnde DNS-Einträge die den Weg für Subdomain-Hijacking ebnen. Wenn ein Angreifer erst einmal die Kontrolle über diese Subdomänen übernommen hat, kann er sich viel erlauben!
Wenn Sie einen Domänennamen mit mehreren Subdomänen betreiben, ist es leicht, sich den Rücken zuzuwenden und die Türen unverschlossen zu lassen. Unabhängig davon, ob Sie ein Unternehmen oder eine kleine Firma sind, kann die mangelnde Absicherung Ihrer Subdomains zu Vorfällen wie SubdoMailing oder anderen Formen des Subdomain-Missbrauchs führen.
Wie funktionieren die SubdoMailing-Angriffe?
Ein Artikel von Guardio heißt es, dass das Unternehmen verdächtigen E-Mail-Verkehr entdeckt hat, der von Tausenden von scheinbar legitimen Subdomänen bekannter Marken ausging. Darunter waren große Namen wie MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay und viele mehr!
Diese E-Mails gaukelten den Nutzern eine gewisse Dringlichkeit vor und verleiteten sie dazu, auf kompromittierende Links zu klicken. Diese leiteten die Nutzer auf eine Reihe von schädlichen Zielen um. Die Bandbreite reichte von invasiver Werbung bis hin zu gefährlicheren Phishing-Websites, die auf den Diebstahl sensibler Daten abzielten.
SubdoMailing Beispiel
Das oben gezeigte Beispiel ist ein klassischer Fall von SubdoMailing, der von Guardio entdeckt wurde. E-Mails, die von einer kompromittierten Cash App-Subdomain stammten, wurden an Millionen von Nutzern verschickt. Diese E-Mail enthielt eine Warnmeldung zur Bestätigung ausstehender Überweisungen auf ihre Cash App-Konten. Die E-Mail enthielt mehrere potenziell bösartige Weiterleitungen.
Bösartige E-Mail-Anhänge und sorgfältig gestaltete Links sind nur schwer zu ignorieren. Vor allem, wenn sie mit einer Warnmeldung verbunden sind, die sofortige Aufmerksamkeit verlangt. In solchen Situationen ist es natürlich sehr wahrscheinlich, dass die Nutzer auf die Links klicken und Opfer eines Cyberangriffs werden.
Eigenschaften und Merkmale des SubdoMailing-Angriffs
SubdoMailing-Angriffe können aufgrund ihrer einzigartigen Merkmale hohe Erfolgsquoten aufweisen. Guardio erklärt, dass SubdoMailing sehr ausgeklügelte Taktiken anwendet, um legitime Subdomains von so beliebten Markennamen zu manipulieren. Diese Angriffe waren sehr schwer zu erkennen und erforderten eine gründliche Untersuchung durch die Cybersicherheitsexperten von Guardio.
Warum SubdoMailing-Angriffe eine hohe Erfolgsquote haben können
Wir sehen in SubdoMailing-Angriffen ein echtes Potenzial, mehreren ahnungslosen Nutzern ernsthaften Schaden zuzufügen, und zwar aufgrund der folgenden Merkmale:
- Nachahmung bekannter Marken mit einem guten Ruf
- Betrieb in großem Maßstab durch Manipulation von mehr als 8000 Domains (Tendenz steigend)
- Umgehung von Spam-Filtern
- Umgehung von E-Mail-Inhaltsfiltern durch Kuratieren glaubwürdiger bildbasierter Nachrichten
- Angreifer analysieren Ihren Gerätetyp und Standort, um gezieltere Angriffe zu starten
- Die bösartigen E-Mails bestanden E-Mail-Authentifizierung Prüfungen wie SPF, DKIM und DMARC
Wie umgehen SubdoMailing-Phishing-E-Mails die E-Mail-Authentifizierungsprüfungen?
Nehmen wir das Beispiel eines der von Guardio untersuchten Anwendungsfälle. Guardio fand mehrere Phishing-E-Mails, die von einer bestimmten Subdomäne von msn.com stammten.
Bei näherer Betrachtung dieser bösartigen E-Mails stellte Guardio fest, dass sie von einem Server in der ukrainischen Stadt Kiew aus gesendet wurden. Im Idealfall wäre dies bei einer SPF-Prüfung als verdächtig eingestuft worden. SPF Prüfung als verdächtig markiert worden, es sei denn, die IP-Adresse des Servers war autorisiert. Bei der Überprüfung wurde festgestellt, dass eine Subdomäne von msn.com die verdächtige IP-Adresse autorisiert hatte.
Dies könnte einen der folgenden Gründe haben:
- Es könnte sich um eine Insider-Bedrohung handeln, bei der ein MSN-Mitarbeiter die IP-Adresse absichtlich für den Versand von Phishing-E-Mails autorisiert hat.
- Es könnte sich um einen einfachen Fall von menschlichem Versagen handeln, bei dem der Server aufgrund eines Tippfehlers versehentlich autorisiert wurde.
- Es könnte sich um eine fortgeschrittene Form der DNS-Manipulation handeln, bei der die MSN-Subdomain von einer externen Bedrohung gekapert wurde, um den Server zu autorisieren
Eine weitere Untersuchung des SPF-Datensatzes für die Subdomain msn.com führte die Guardio-Experten in ein Kaninchenloch von 17826 verschachtelten IP-Adressen, die berechtigt sind, E-Mails im Namen der Domain zu versenden. Die schiere Komplexität des SPF-Eintrags deutete auf einen höchst verdächtigen, aber sorgfältig ausgearbeiteten Ansatz zur Manipulation von Authentifizierungsfiltern hin. Was noch wichtiger ist: Die Untersuchungen ergaben, dass diese MSN-Subdomäne über einen CNAME-DNS-Eintrag auf eine andere Domäne verwies. Sobald der Angreifer also die andere Domäne gekauft hatte, konnte er die MSN-Subdomäne kapern.
Wie haben die Angreifer dies erreicht? Das wollen wir herausfinden:
Verwendung von inaktiven/aufgegebenen Subdomains für SubdoMailing
Guardio nutzte Internetarchive, um herauszufinden, ob die Subdomäne msn.com tatsächlich von MSN beansprucht wurde. Es stellte sich heraus, dass die Subdomain vor 22 Jahren aktiv war. Sie lag mehr als zwei Jahrzehnte lang brach - bis vor kurzem!
Es ist also Folgendes passiert:
- Ein Bedrohungsakteur kaufte die Domäne, die mit der Subdomäne verknüpft war. Da der Link 22 Jahre später immer noch existierte, konnten sie die Domäne kapern.
- Jetzt konnten sie sie nach Belieben manipulieren! Die Angreifer autorisierten ihre eigenen Server im SPF-Eintrag der Subdomain, was es ihnen ermöglichte, authentifizierte Phishing-E-Mails im Namen der Subdomain zu versenden.
- Sie nutzten diese Gelegenheit, um Millionen von betrügerischen E-Mails unter dem Deckmantel von msn.com zu versenden und sich als legitime Absender auszugeben.
SPF-Record-Manipulation für SubdoMailing
Im Fall von SubdoMailing befanden sich im SPF-Eintrag der gekaperten Subdomäne mehrere aufgegebene Domänen. Diese Domänen wurden erworben, um SMTP-Server im Besitz der Angreifer zu autorisieren. Aufgrund der Natur der SPF-Richtlinie autorisiert die Subdomäne schließlich alle diese vom Angreifer kontrollierten Server als legitime E-Mail-Absender.
Der eigentliche Grund für die Verwendung von SPF ist die Autorisierung rechtmäßiger Absender. Dies ist besonders wichtig, wenn ein Unternehmen externe E-Mail-Anbieter für den Versand seiner E-Mails einsetzt. Dadurch wird auch die Möglichkeit ausgeschlossen, dass betrügerische Quellen E-Mails im Namen einer Domäne versenden. In diesem klassischen Fall von SPF-Datensatzmanipulation wurde der Vorteil der Verwendung von SPF zur Authentifizierung von E-Mails missbraucht, um böswillige Absender zu autorisieren.
Verhinderung von SubdoMailing-Angriffen: Was können Unternehmen tun?
Eine fortgeschrittene Form des Subdomain-Hijacking-Angriffs wie SubdoMailing erfordert eine proaktive Präventionsstrategie. Hier ist, wie Sie beginnen können:
Verhindern von unübersichtlichen DNS-Einträgen
DNS-Einträge, die auf Domänen zeigen, die dekonfiguriert sind, oder Server, die nicht mehr verwendet werden, können zu SubdoMailing führen. Stellen Sie sicher, dass Sie Ihre DNS-Einträge regelmäßig aktualisieren und keine veralteten Quellen zulassen. In Ihren DNS-Einträgen sollte nur auf aktive Domänen oder Server verwiesen werden, über die Sie die Kontrolle haben. Sie sollten auch sicherstellen, dass Ihre E-Mail-Anbieter ihre Versandlisten sauber halten und nicht mehr genutzte Server entfernen.
Überwachung Ihrer E-Mail-Kanäle
Es reicht nicht aus, DMARC-Berichte zu konfigurieren, man muss sie auch überwachen. Als Domäneninhaber sollten Sie sich jederzeit über Ihre E-Mail-Versandpraktiken im Klaren sein. Bei großen E-Mail-Volumina ist dies selbst mit einem dedizierten Postfach schwer zu erreichen. Aus diesem Grund benötigen Sie einen Drittanbieter wie PowerDMARC. Wir helfen Ihnen, Ihre Sendequellen und E-Mail-Aktivitäten auf einem cloudbasierten Dashboard mit erweiterten Filterfunktionen zu überwachen. Subdomains werden auf unserer Plattform automatisch erkannt, damit Sie sie genau im Auge behalten können. So können Sie jede verdächtige Aktivität sofort erkennen!
Übernehmen Sie die Kontrolle über Ihre Subdomains
Dies ist ein Weckruf, der Sie dazu aufruft, alle Ihre Sendequellen heute neu zu bewerten. Beginnen Sie mit der Durchführung einer SPF-Prüfung mit unserem kostenlosen Tool!
Überprüfen Sie die "Include"-Mechanismen in Ihrem SPF-Status, um Ihre eingeschlossenen Domains und Subdomains zu überprüfen. Diese Domänen hosten SPF-Einträge mit IP-Adressen, die berechtigt sind, E-Mails im Namen Ihrer Stammdomäne zu versenden. Wenn Sie eine Subdomain finden, die Sie nicht mehr verwenden, ist es an der Zeit, den "Include"-Eintrag für sie zu entfernen. Sie können Ihre DNS-Editierzone aufrufen, um die erforderlichen Änderungen vorzunehmen.
Zusätzliche Tipps zum Schutz vor Cyberangriffen
- Stellen Sie sicher, dass Ihre CNAME-Einträge immer auf dem neuesten Stand sind, und deaktivieren oder entfernen Sie CNAME-Einträge, die Sie nicht mehr verwenden.
- Vergewissern Sie sich, dass die SPF-Mechanismen in Ihrem Eintrag ebenfalls auf dem neuesten Stand sind, und entfernen Sie alle nicht mehr verwendeten Versanddienste.
- Konfigurieren Sie Ihre legitimen Quellen so, dass sie DMARC-konforme E-Mails senden, und stellen Sie Ihre DMARC-Richtlinie so ein, dass sie für Ihre Domänen und Subdomänen abgelehnt wird.
- Schützen Sie Ihre geparkten Domains und Subdomains
- Ungenutzte Subdomänen und DNS-Einträge entfernen
- Überprüfen Sie kontinuierlich die von Ihren Domains und Subdomains gesendeten E-Mails, indem Sie Berichte für alle Domains, die Sie besitzen, einrichten.
Schützen Sie Ihre Domains mit PowerDMARC
PowerDMARC kann Ihnen helfen, Ihre Domainnamen zu sichern! Unsere Plattform wurde entwickelt, um Domaininhabern durch Transparenz und Überwachung die Kontrolle über ihre eigenen Domains zurückzugeben. Wir helfen Ihnen, Ihre Sendequellen und Ihren E-Mail-Verkehr im Auge zu behalten, indem wir Ihnen detaillierte Informationen über Ihre E-Mail-Aktivitäten zur Verfügung stellen. Dies hilft Ihnen, ungewöhnliche Muster in Ihrer Domainaktivität zu erkennen, böswillige IPs, die sich als Ihre Domain ausgeben, und sogar die geografischen Standorte der Server zu entdecken, die Ihren Markennamen fälschen.
Beginnen Sie Ihre Reise zur Domainsicherheit mit uns, kontaktieren Sie uns und sprechen Sie noch heute mit einem Experten!
- SMTP Yahoo Fehler Codes erklärt - 1. Mai 2024
- SPF Softfail vs. Hardfail: Was ist der Unterschied? - April 26, 2024
- FTC berichtet, dass E-Mail ein beliebtes Medium für Betrügereien mit falschen Namen ist - 16. April 2024