Hacking via verkorte domeinnamen

Malafide Prolific Puma blijft 18 maanden onder de radar

Infoblox, een Amerikaans bedrijf met focus op DNS security, ontdekte dat een organisatie, ‘Prolific Puma’, hackers een dienst aanbiedt om via verkorte domeinnamen bezoekers om te leiden naar malafide websites.  In minder dan een maand tijd heeft Prolific Puma duizenden domeinnamen geregistreerd, waarvan veel op het U.S. topleveldomein. Dit deden ze om phishing mails, fraude, malware en andere criminele praktijken te faciliteren.  De verkorte URL’s worden vaak in SMS-berichten gebruikt.

Prolific Puma valt op omdat de dienst al ruim 18 maanden kwaadaardige activiteiten kon faciliteren, zonder enige detectie door de security-branche. Met een enorme verzameling domeinnamen zijn zij dus doorlopend in staat gebleken kwaadaardig verkeer te verspreiden en detectie te ontwijken.

Wat Prolific Puma zo opmerkelijk maakt, is dat deze dienst niet is ontdekt via malware of phishingsites, maar uiteindelijk wel via DNS-analyse.

Hoe werkt hacking via verkorte links?

Het oorspronkelijke doel van ‘linkverkorters’ was om het delen van websitelinks eenvoudiger te maken en om een ‘workaround’ te bieden voor de beperkingen op de (link)grootte van sociale media. Denk aan diensten zoals Tinyurl, BitLy, Google, LinkedIn.

Wanneer de gebruiker op een verkorte link klikt, wordt hij doorgestuurd naar een andere URL. Vervolgens wordt achter de schermen een DNS-verzoek gedaan om het IP-adres voor het verkorte service domein op te lossen (in dit geval dus via Prolific Puma).

Het web verzoek wordt vervolgens naar dat malafide adres verzonden met de hashwaarde die wordt gebruikt om de oorspronkelijke site te identificeren. Terwijl legitieme gebruikers een eenvoudige, verkorte link maken om te delen, kan een kwaadwillende actor meerdere omleidingen gebruiken vóór de uiteindelijke landingspagina.  

Prolific Puma maakt gebruik van de strategie "strategisch ouder maken" van domeinen. Deze tactiek omzeilt traditionele beveiligingsmaatregelen die vaak gebaseerd zijn op het blokkeren van nieuw geregistreerde domeinen. Door domeinen te laten verouderen na registratie kunnen ze de detectie vermijden, waardoor ze lijken op bestaande en vertrouwde bronnen. Dit proces vereist een diepgaande kennis van de levenscyclus van domeinen en de mogelijkheid om inactieve, maar potentieel gevaarlijke domeinen te identificeren.

De oplossing tegen dit soort aanvallen

Het is van cruciaal belang om gebruikers bewust te maken van de mogelijke risico's bij het klikken op verkorte links. Training in digitale hygiëne, zoals het verifiëren van de bron voordat er op een link wordt geklikt, kan aanzienlijk helpen. “Klik niet op verkorte links” lijkt de meest voor de hand liggende oplossing. Maar in de praktijk eigenlijk amper haalbaar.

De boodschap is dus om je automatisch te beveiligen via SecureDNS beveiliging.  AXS Guard stuurt ALLE DNS-verzoeken van de gebruikers door naar de Secutec SecureDNS-server. Deze controleert de domein reputatie van de opgevraagde URL, ook deze van (het uiteindelijke doel van) de verkorte URL’s. 

A) Als een gebruiker een geblokkeerd domein bezoekt,krijgt hij/zij geen verbinding. 

B) Als het domein op de witte lijst staat of niet bekend staat als “bedreigend”, krijgt de gebruiker toegang tot het domein.

Via AXS Guard Cloud volg je de resultaten en efficiëntie van SecureDNS minutieus op via de SecureDNS dashboard monitoring.

Conclusie

De gevolgen van kwaadaardige activiteiten via verkorte domeinnamen kunnen verwoestend zijn. Individuen lopen het risico op identiteitsdiefstal, financiële verliezen en privacy-inbreuken. Voor bedrijven kunnen deze aanvallen leiden tot datadiefstal, verstoring van bedrijfsactiviteiten en beschadiging van de reputatie. Dit onderstreept de dringende noodzaak voor robuuste beveiligingsmaatregelen en bewustwordingstraining binnen organisaties en bij gebruikers.

BRON: https://blogs.infoblox.com/cyber-threat-intelligence/prolific-puma-shadowy-link-shortening-service-enables-cybercrime/