Undgå kapring af jeres subdomæner!
Inaktive subdomæner udgør en reel sikkerhedstrussel for jeres virksomhed.
En nylig undersøgelse har påvist, at over 8.000 domæner og 13.000 subdomæner fra kendte brands, er blevet kapret til spam og phishing. Undersøgelsen afslørede også at det var den cyberkriminelle gruppe ResurrecAds der stod bag og at de startede kapringerne og misbruget, også kaldet SubdoMailing, tilbage i september 2022.
ResurrecAds udnyttede bl.a. subdomæner som ikke resolvede (ikke blev brugt aktivt), til at sende skadelige e-mails fra kendte brands, som eBay, Marvel og UNICEF. Deres phishing omgik privatpersoners og virksomheders sikkerheds-foranstaltninger, ved at bruge billeder i e-mails og ved at manipulere med afsender-oplysninger.
De gjorde brug af en omfattende global infrastruktur af kaprede brugere, IP-adresser og domæner, til at undgå spamfiltre og e-mail-autentifikation som SPF, DKIM og DMARC. Deres phishingmetoder omfattede bl.a. falske advarsler og malware-downloads, med henblik på at angribe både privatpersoner og virksomheder.
Undersøgelsen viste også, at subdomænerne blev kapret via forældede CNAME records, hvilket gjorde det muligt for dem at sende e-mails der fik modtagerne til at tro at de kom fra legitime afsendere. For eksempel blev domænet msnmarthastewartsweeps.com genoplivet efter 21 år og brugt til phishing-angreb.
Denne form for kapring kan have alvorlige konsekvenser for en virksomhed, da de cyberkriminelle misbruger domæner og subdomæner der indeholder brands man har tillid til, til at fremsende mails der indeholder forskellige former for malware (f.eks. spyware og ransomware). Derudover kan det afføde både økonomiske konsekvenser og tab i brandværdi, for den misbrugsramte virksomhed.
Det er derfor vigtigt at være opmærksom og beskytte sine subdomæner mod kapring, bl.a. ved jævnligt at tjekke om de bliver brugt aktivt og resolver. Hvis et subdomæne ikke resolver, redirecter eller bliver brugt aktivt, bør det med det samme slettes. Jo længere tid der går inden man sletter inaktive subdomæner, jo større er risikoen for at ens brand bliver involveret i disse uheldige sager.
Man kan med fordel udarbejde en politik for oprettelse og nedlukning af subdomæner, så man helt undgår at havne i en uheldig situation.
Har du brug for hjælp til at sikre, at der er styr på jeres domæner og subdomæner, så de ikke bliver misbrugt af kriminelle?
Hos IP Dots har vi mulighed for hjælpe vores kunder på flere områder:
Subdomæne audit: Her undersøger vi samtlige af jeres domæner og laver en fuld rapport, som beskriver hvilke subdomæner der er oprettet under hvert enkelt domæne i jeres portefølje. Denne rapport kan så bruges til internt at undersøge, om de resolver og stadigvæk skal være aktive – eller om de skal lukkes ned.
Portefølje analyse: Her undersøger vi alle domæner i jeres portefølje for at tjekke om der er sat en aktive redirects op, og sikre korrekt juridisk ejerskab og eliminering af tidligere medarbejderes navne og email adresser. Derudover tjekker vi om der mangler vitale DNS records.
Domæneovervågning: Her overvåger vi domæneregistreringer der indeholder jeres brand, både dem der allerede er blevet oprettet eller løbende bliver oprettet af diverse 3. parter. Her kan vi både holde øje med om domænerne indeholder et match af jeres brand eller en variation med stavefejl eller slåfejl. Vi kan også holde øje med registrering af domæner der ligger forvirrende tæt på jeres brands (eksempelvis med udskiftede eller ombyttede bogstaver), eller domæner som erstatter bogstaver med symboler i domænenavnet så det ligner jeres brand (Homoglyffer).
Vil du vide mere?
Er du interesseret i at høre mere om hvordan du kan beskytte jeres brand og sikre jer mod domæne og subdomæne hijacking, er I velkommen til at tage fat i os pr. e-mail eller telefon. Alternativt kan du også udfylde vores kontaktformular.
#Domæner #SubDomæner #Hijacking #Cybersikkerhed
