Email prevaranti koriste sofisticirane taktike da prevare korisnike
Sofisticirana kampanja prevare putem oglasa, nazvana “SubdoMailing”, iskorišćava preko 8.000 legitimnih internet domena i 13.000 poddomena kako bi dnevno slala više od 5 miliona emailova.
Operacija SubdoMailing je aktivna od 2022. godine, iskorišćavajući reputacije poznatih kompanija
Otkrivena od strane istraživača Guardio Labs-a Nati Tala i Olega Zajceva, operacija SubdoMailing je aktivna od 2022. godine, iskorišćavajući reputacije poznatih kompanija tako što preuzima njihove napuštene poddomene i domene. Ovaj metod efikasno zaobilazi filtere za spam i iskorišćava politike autentifikacije emaila poput SPF i DKIM, čineći da ove zlonamerne poruke izgledaju legitimno.
Žrtve ovog preuzimanja domena uključuju visokoprofilne entitete poput MSN-a, VMware-a, McAfee-a, The Economist-a, Kornel Univerziteta, CBS-a, NYC.gov-a, PWC-a, Pearson-a, Better Business Bureau-a, Unicefa, ACLU-a, Symantec-a, Java.net-a, Marvel-a i eBay-a. Prevarantski emailovi, pod maskom ovih renomiranih brendova, izbegavaju sigurnosne mere i korisnike usmeravaju kroz seriju preusmeravanja. Ove akcije ne samo da generišu prihode od oglasa za počinitelje, već takođe navode nesumnjičave korisnike na lažne poklone, sigurnosne skenove, ankete ili partnerske prevare.
Istraživanje SubdoMailing-a počelo je nakon što su istraživači Guardio Labs-a otkrili neobične obrasce metapodataka emailova, otkrivajući sveobuhvatan plan preuzimanja poddomena. Kampanja koristi sofisticirane taktike da oponaša legitimne poruke, uključujući zloupotrebu SPF-a, DKIM-a i DMARC protokola. Ove mere sigurnosti dizajnirane su da verifikuju legitimnost pošiljaoca kod email getaway-a, sprečavajući da emailovi budu označeni kao spam.
Modus operandi SubdoMailing-a uključuje dve primarne tehnike: preuzimanje CNAME-a i iskorišćavanje SPF zapisa. U napadima na CNAME, napadači identifikuju poddomene sa CNAME zapisima koji pokazuju na neregistrovane eksterne domene, koje zatim registruju sami. Slično tome, oni iskorišćavaju SPF zapise preuzimajući eksterne domene navedene u opciji konfiguracije “include:” ciljnih domena u SPF zapisima. To omogućava napadačima da autorizuju svoje zlonamerne email servere pod maskom renomiranih domena.
Pripisan pretnji poznatom kao “ResurrecAds”, kampanja sistematski skenira internet u potrazi za ranjivim domenima, neprestano ažurirajući svoju mrežu preuzetih domena, SMTP servera i IP adresa kako bi održao svoje operacije velikog obima. Guardio Labs procenjuje da SubdoMailing koristi skoro 22.000 jedinstvenih IP adresa, uključujući rezidencijalne proxy-je, da bi širio prevarantske emailove širom sveta.
Čisto obim i kompleksnost ove operacije ukazuju na značajan izazov koji predstavlja za internet sigurnost. Guardio Labs je odgovorio kreiranjem SubdoMailing provere sajta, omogućavajući vlasnicima domena da utvrde da li se njihov brend zloupotrebljava i preduzmu preventivne ili korektivne mere.
Izvor: Readwrite