Para peneliti keamanan menemukan bahwa fenomena domain shadowing mungkin lebih masif daripada yang diperkirakan sebelumnya, dengan terungkapnya 12.197 kasus yang terjadi antara April dan Juni 2022.
Domain shadowing adalah subkategori pembajakan DNS, di mana pelaku mengkompromikan DNS dari domain yang sah untuk meng-host subdomain mereka sendiri
Pada langkah selanjutnya, domain bayangan ini digunakan dalam aktivitas jahat tetapi tidak mengubah entri DNS yang sah yang sudah ada.
Fenomena Domain Shadowing
Pertama, penjahat dunia maya mendapatkan akses ke akun pemilik domain melalui phising, serangan kamus, atau metode lain.
Selanjutnya, mereka membuat sejumlah besar subdomain yang dapat digunakan satu per satu untuk tindakan jahat dan kemudian dibuang.
Dalam banyak kasus, alamat yang digunakan diganti secara otomatis untuk mempercepat rotasinya dan dengan demikian menghindari deteksi.
Subdomain ini kemudian digunakan untuk membuat halaman berbahaya di server peretas sementara halaman web situs pemilik domain dan catatan DNS tetap tidak berubah.
Halaman berbahaya yang ditautkan ke URL di-host di server peretas dan sama sekali tidak terkait dengan sumber daya Web korban.
Mereka tidak menautkan ke halaman mana pun di situs utama, juga tidak menautkan situs utama ke subdomain.
Pada gilirannya, pengguna mungkin tidak menyadari bahwa mereka berada di situs yang mencurigakan, karena bilah alamat menampilkan domain utama yang memiliki reputasi baik.
Pemilik domain mungkin juga tidak mengetahui penyusupan akun dan subdomain berbahaya. Selain itu, subdomain dapat pelaku gunakan untuk:
- Menghosting halaman phishing untuk mencuri detail bank, kata sandi, dan data pribadi;
- Mendistribusikan malware dan melakukan cryptojacking;
- Mengarahkan pengguna ke sumber daya kriminal lain.
- Menyalahgunakan reputasi baik domain yang dibajak untuk melewati pemeriksaan keamanan.
Sulit Dideteksi
Namun masalahnya untuk mendeteksi kasus dari domain shadowing tidak semudah itu bagi perusahaan apalagi individu.
Para analis sendiri menyebutkan bahwa VirusTotal hanya menandai 200 domain sebagai berbahaya dari 12.197 domain yang ditemukan.
Sebagian besar (151) deteksi VirusTotal terkait dengan kampanye phising tunggal menggunakan jaringan 649 domain bayangan di 16 situs web yang disusupi.
Dapat disimpulkan dari hasil ini bahwa domain shadowing atau domain bayangan merupakan ancaman aktif bagi perusahaan terlebih lagi individu.
Domain bayangan sulit dideteksi tanpa memanfaatkan algoritme mesin pembelajaran otomatis yang dapat menganalisis log DNS dalam jumlah besar.
Selain itu, halaman phising yang dihosting di domain dengan reputasi baik akan tampak dapat dipercaya oleh pengunjung, menyebabkan mereka lebih cenderung mengirimkan data pada halaman tersebut.
Kampanye Domain Shadowing
Kampanye phising yang ditemukan oleh para peneliti mengkompromikan 16 domain untuk membuat 649 subdomain, menghosting halaman login palsu atau titik pengalihan ke halaman phising.
Subdomain yang mengarahkan ulang ke situs phising dapat dengan mudah melewati filter keamanan email karena mereka tidak menghosting sesuatu yang berbahaya dan memiliki reputasi yang baik.
Pelaku ancaman menargetkan kredensial akun Microsoft, dan meskipun URL jelas tidak terkait dengan Microsoft, itu tidak akan memicu peringatan dari alat keamanan internet.
Dalam satu kasus, pemilik domain menyadari kompromi tersebut, tetapi tidak sebelum banyak subdomain telah dibuat dan memfasilitasi operasi jahat pada infrastruktur mereka.
Meskipun perlindungan dari subdomain nakal adalah tanggung jawab pemilik domain, pendaftar, dan penyedia layanan DNS, akan lebih bijaksana bagi pengguna untuk selalu waspada saat mengirimkan data.
Ini termasuk kemungkinan bahwa subdomain pada domain terkenal bisa berbahaya dan bagi pengguna untuk memeriksa ulang semuanya sebelum mereka mengirimkan kredensial atau informasi sensitif lainnya.
Bacaan lainnya:
- Phising Email
- Fitur Phising
- Psikologi dan Phising
- Email Jadi Sumber Malapetaka
- Phising Aplikasi Berkirim Pesan
- Tiga Jenis Serangan BEC
Sumber berita: