Immer wieder erstaunlich wie Hacker Wege finden.
Vermurkster SPF Standard der zugunsten von Werbemailings erweitert wurde.
Wer hat den eigentlich verbrochen? findet man kaum was zu.
Ist es nicht wie mit Gesetzen.
Kluge Köpfe mit keiner Ahnung der Materie denken sich etwas Tolles aus und hören nicht auf Leute, die wirklich Ahnung haben.
So entstehen halbfertige Dinge, die von Betrügern ausgenutzt werden können.
Ein wichtiges Stichwort bei dieser großen Kampagne, wäre „SubDomain-Hijacking“!
Dadurch wird folgendes mölich:
- SPF-Authentifizierung – Einschleusen von SPF-genehmigten IP-Adressen von SMTP-Servern im Besitz des Akteurs.
- SMTP-Server – Hosten von SMTP-Servern unter der gekaperten Subdomain, um Massen-E-Mails zu versenden.
- Hosting der Klickumleitung – Hosting von Weiterleitungen und Klickanalyse-Links für die eigentlichen Anzeigen, einschließlich Bildern und anderen Assets für E-Mail-Inhalte.
- „Abmelde“-Seiten – Aufgrund von Vorschriften hosten diese Assets auch generische Abmeldeseiten, um so seriös wie möglich zu wirken.
- Absenderadresse – in manchen Fällen werden diese E-Mails ausgenutzt, um so zu definieren, als würden sie von diesen gekaperten Domänen gesendet! In vielen Fällen missbrauchen sie auch schlechte DMARC-Richtlinien, die für diese Domains festgelegt sind.
Beim SubDomain-Hijacking handelt es sich um gekarperte Domains, die derzeit nicht genutzt werden. Mit anderen Worten: Du hast mal eine Subdomain erstellt und deren DNS-Eintrag so eingestellt, dass er auf ein gemeinsam genutztes Hosting-Konto verweist.
Später dann hast du die gehosteten Inhalte auf der Shared-Hosting-Seite gelöscht, aber vergessen, den DNS-Eintrag zu entfernen, der auf das Shared-Hosting-Konto verweist.
Wenn deine
subdomain.example.com
jedoch so konfiguriert war, dass es auf ein Shared-Hosting-Konto verweist
subdomain.example.com
aber auf der Seite des gemeinsam genutzten Hosts nicht mehr konfiguriert ist (weil die Subdomain dort gelöscht wurde), eröffnet dies einem Angreifer die Möglichkeit, diese auf sein Hosting-Setup zu verweisen.
Im Falle eines Subdomain-Hijackings hätte ein Angreifer normalerweise nicht die Macht, die von dir eingerichteten DNS-Einträge zu ändern.
Stattdessen würden Besucher durch einfaches Hinzufügen der Subdomain zu ihrem Hosting-Konto, das auf derselben IP wie Ihre Subdomain gehostet wird, nun zu ihrem Web-Stammverzeichnis weitergeleitet.
Während früher deine Subdomain nicht erreichbar war, würden beim Zugriff jetzt die Zielseiten des Angreifers angezeigt. Subdomain erfolgreich gekapert!
Letzten Endes sind die bekannten Namen, die aktuell für das SubdoMailing genutzt werden, also selber schuld, dass dies in diesem Umfang möglich wurde!!