現時有多種技術對付濫發的垃圾郵件,但道高一尺魔高一丈,垃圾郵件找到新方法騎劫真實公司的網域,藉此利用公司的商譽穿越過濾,從而達到攻擊者的目的。
SubdoMailing與騎劫公司域名
有研究人員發現一個名為SubdoMailing的濫發電郵活動,活躍自2022年並涉及8000網域與13000個子網域,全部由合法公司擁有,其中接近22000個是獨立IP地址,研究人員估計濫發電郵數量是平均每日500萬封。SubdoMailing背後的操作者持續尋找已經過期的公司網域,一旦發現便再次登記,每日獲得幾十個合法網域,最高紀錄是2023年6月的一日之內騎劫72個網域。
為了避免掉入垃圾郵件名單,攻擊者持續轉換,每個網域只會發送一至二天垃圾郵件,然後在發送者切換到下一個網域時處於休眠狀態,再於數天後便會暫時引退由其他網域補上。
透過自訂CNAME騎劫網域
攻擊者透過擁有自訂CNAME(canonical name)的記錄,騎劫合法公司的網域,由於CNAME用作重新導引一個域名到另一個,例如有時用作宣傳用的網站,雖然架設在不同的網域但卻利用CNAME綜合到公司的網絡資源架構之內(例如:company.com > company2020promo.com),大公司擁有豐富資源可以擁有很多CNAME及網域,但管理員很少會有完整的紀錄,一旦網域過期但CNAME記錄仍然生效,便會成為SubdoMailing活動的犯罪份子的目標。
以company2020promo.com作為例子,如果公司在宣傳活動後數年放棄這個網域,而管理員忘記移除CNAME記錄的話,有心人只要重新登記該網域便能自動獲得promo.company.com子網域,如此一來就能授權其擁有的IP地址電郵伺服器從promo.company.com子網域發送電郵,盜用了主網域company.com的聲譽來避開過濾。
利用SPF記錄
SubdoMailing的攻擊者利用的另一種策略就是利用SPF(Sender Policy Framework)記錄,是一種SMTP協定的擴展,記錄授權從特定IP地址和網域發子電郵的清單,一家大公司擁有多個地域和網域用作不同目的相當正常,當中包括不屬於公司的外在網域,可能是臨時項目、大量寄件工具、用戶問卷平台等等專門用途,與CNAME的情況一樣,一旦網域登記過期,而又忘記移除SPF記錄的話,便可能被人有機可乘,而後果也與CNAME的情況一樣,透過登記已過期的外部的網域,攻擊者就能通過某家合法公司的網域名去發送垃圾電郵。
防範SubdoMailing
想防範騎劫網域或利用公司名字濫發電郵,我們建議:
- 實施SPF、DKIM和DMARC
- 定期盤點公司網絡資源,包括網域。
- 確保及時更新活躍的網域登記
- 移除過期的DNS記錄
- 更新SPF記錄,移除不使用的地址及准許以公司名義發送電郵的網域。
資料來源:Kaspersky Blog
