Guardio
以色列资安业者Guardio近日揭露了一起大规模的广告/网钓邮件恶意活动SubdoMailing,主要利用众多已遭知名品牌弃置的网域名称或子网域来躲过电子邮件过滤机制,同时披露了执行该活动的组织ResurrecAds。受害品牌涵盖MSN、VMware、McAfee、The Economist、Cornell University、CBS、Swatch与eBay等。
Guardio追踪了SubdoMailing近60天来的活动,显示有超过8,000个网域名称、逾1.3万个子网域被骇客接管,每天传送超过500万封垃圾或恶意电子邮件。
Guardio指出,骇客主要利用的媒介为CNAME与SPF。其中,CNAME的全名为Canonical Name,是网域名称系统(DNS)中的一种资源纪录,它能够将A网域名称对应到B网域名称,以Guardio所发现的一个滥用marthastewart.msn.com网域名称的活动为例,这是微软MSN服务的子网域,它的CNAME纪录被对应到msnmarthastewartsweeps.com,而后者是微软在2001年5月所申请的网域,但在同年8月就被弃置。
在2022年9月,骇客挟持了已无内容的marthastewart.msn.com,发现其CNAME纪录中的msnmarthastewartsweeps.com属于无人网域,于是便注册了该网域,而能够以等同于MSN的身分来发送电子邮件,躲过了电子邮件过滤机制。
SPF全名则是寄件者政策框架(Sender Policy Framework),为一电子邮件验证方式,可确保发送邮件的伺服器有权自发送者的网域寄出邮件,通常是在网域的DNS中存放了可用来代替该网域传送邮件的伺服器及网域的SPF纪录。
然而,当品牌网域的电子邮件或行销服务供应商不再运作,或者是这些供应商弃置了原来所使用的网域名称时,骇客就会马上取得这些网域的所有权,进而以品牌的名义发送大量的垃圾、广告或恶意邮件。
Guardio相信,ResurrecAds正持续且大规模地扫描网路上那些曾经存在、之后却被遗忘的子网域,特别是那些拥有混乱CNAME纪录的网域,接著快速注册位于这些CNAME纪录中的闲置网域,以取得这些品牌网域的控制权。
利用这些品牌网域来发送垃圾邮件,不仅能逃过电子邮件过滤机制,还能顺便降低使用者的危机意识。除了已发现遭到滥用的逾8,000个网域之外,Guardio还侦测到该数字以每天新增数百个的速度成长。
怀疑某个子网域遭到滥用,或是想确定自家子网域安全性的使用者可透过Guardio所提供的免费工具进行检查。