Hacker Gunakan DNS .arpa dan IPv6 untuk Lolos dari Deteksi Phishing
Pelaku kejahatan siber kini memanfaatkan domain khusus .arpa dan mekanisme reverse DNS IPv6 untuk melancarkan kampanye phishing yang lebih sulit dideteksi oleh sistem keamanan email dan pemeriksaan reputasi domain. Pasted text
Teknik ini mengeksploitasi cara kerja DNS yang biasanya digunakan untuk memetakan alamat IP ke nama host, tetapi dimanipulasi oleh penyerang untuk menyembunyikan infrastruktur phishing mereka.
Apa Itu Domain .arpa?
Domain .arpa adalah top-level domain khusus yang digunakan untuk infrastruktur internet, bukan untuk situs web biasa. Domain ini terutama digunakan dalam reverse DNS lookup, yang memungkinkan sistem menemukan nama host dari alamat IP. Pasted text
- IPv4 menggunakan
in-addr.arpa - IPv6 menggunakan
ip6.arpa
Biasanya, reverse DNS hanya berisi PTR record yang menghubungkan alamat IP dengan hostname.
Namun, peneliti menemukan bahwa jika penyerang mengontrol rentang alamat IPv6, mereka dapat mengatur zona DNS tersebut dan membuat record tambahan yang menyalahgunakan domain .arpa untuk hosting phishing.
Cara Hacker Menjalankan Serangan
Menurut penelitian dari perusahaan keamanan jaringan Infoblox, serangan ini dimulai ketika pelaku memperoleh blok alamat IPv6 melalui layanan tunneling IPv6. Pasted text
Langkah serangan umumnya sebagai berikut:
- Penyerang mendapatkan blok alamat IPv6
- Mereka mengontrol zona reverse DNS untuk alamat tersebut
- Subdomain acak dibuat di
ip6.arpa - Alih-alih PTR record, penyerang membuat A record yang menunjuk ke server phishing
- URL phishing dimasukkan dalam email menggunakan hostname
.arpa
Contoh hostname yang digunakan dapat terlihat seperti:
d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa
Hostname ini sering disembunyikan dalam gambar atau tautan di email phishing sehingga korban tidak menyadari bahwa link tersebut mencurigakan.
Infrastruktur Disamarkan dengan Layanan Terpercaya
Peneliti juga menemukan bahwa penyerang memanfaatkan layanan DNS dari penyedia tepercaya seperti Cloudflare atau Hurricane Electric untuk meng-host name server. Pasted text
Akibatnya:
- alamat IP backend phishing sulit dilacak
- reputasi domain terlihat lebih terpercaya
- sistem keamanan email lebih sulit mendeteksi ancaman
Setelah korban mengklik link, sistem Traffic Distribution System (TDS) memeriksa apakah pengunjung merupakan target valid berdasarkan IP, perangkat, atau referer. Jika tidak, pengguna diarahkan ke situs normal.
Sulit Dideteksi oleh Sistem Keamanan
Serangan ini efektif karena domain .arpa:
- tidak memiliki data WHOIS
- tidak memiliki usia domain yang bisa dianalisis
- tidak memiliki informasi pendaftaran publik
Hal tersebut membuat banyak gateway keamanan email kesulitan melakukan analisis reputasi domain.
Selain itu, kampanye ini juga menggunakan teknik tambahan seperti:
- dangling CNAME hijacking
- subdomain shadowing
Peneliti menemukan lebih dari 100 kasus subdomain yang dibajak dari organisasi terkenal, termasuk instansi pemerintah, universitas, perusahaan telekomunikasi, media, dan retailer. Pasted text
Cara Melindungi Diri
Untuk menghindari serangan phishing jenis ini, pengguna disarankan:
- tidak mengklik link tak terduga dalam email
- mengakses layanan langsung melalui situs resmi
- memverifikasi alamat domain sebelum login
- menggunakan solusi keamanan email yang mendukung analisis DNS lanjutan
Serangan ini menunjukkan bahwa pelaku kini tidak hanya mengeksploitasi kerentanan software, tetapi juga fitur inti internet seperti DNS untuk menghindari deteksi dan meningkatkan keberhasilan kampanye phishing.
