網路詐騙通常涉及名稱略有異常的虛假網站，但一項新的調查發現，威脅行為者現在正在利用 .arpa頂級域名(TLD)（互聯網基礎設施的保留部分）來繞過標準安全協議。

DNS 安全與管理公司 Infoblox 近期發現，有人濫用 .arpa 網域空間，而該空間原本並非用於託管網站內容。與常見的 .com 或 .net 等用於託管網站的網域後綴不同，.arpa 是一個專門用於互聯網基礎設施的保留網域空間。它主要用於反向DNS解析，即將 IP 位址映射回網域名稱。
利用 IPv6 隧道和反向 DNS

據 Infoblox Threat Intel 的研究人員稱，詐騙分子利用名為 IPv6 隧道的免費服務來獲取大量 IP 位址。然後，他們誘騙某些服務提供者允許他們在 .arpa 位址空間內託管詐騙網站。他們特別利用 Hurricane Electric 和Cloudflare等服務提供者來創建這些記錄。

由於互聯網的這一區域被認為是網路運作的關鍵且值得信賴的，許多安全工具甚至不會想到要檢查它是否有威脅。 Infoblox威脅情報副總裁Renée Burton博士指出，透過使用.arpa域名，這些攻擊者「有效地繞過了」通常會標記可疑連結的傳統控制措施。

「反向 DNS 空間最初並非設計用於託管網路內容，因此大多數防禦措施甚至沒有將其視為潛在的威脅面。透過將 .arpa 網域用作網路釣魚的傳播管道，攻擊者有效地繞過了依賴網域信譽或 URL 結構的傳統控制措施。防禦者需要開始將 DNS 基礎設施本身視為攻擊者眼中的高價值資產，並且需要具備在任何位置發現濫用行為的可見性。

不只一個技巧

值得注意的是，濫用 .arpa 網域只是冰山一角。研究人員在獨家分享給 Hackread.com 的部落格文章中指出，該組織還利用懸空CNAME記錄，本質上是接管一些機構的陳舊、被遺忘的網站連結，這些機構包括大學、媒體公司，甚至政府機構。

在其中一起案例中，一個名為publicnoticessitescom「expired」的網域使詐騙分子能夠同時劫持超過120家地方報紙網站，另一個名為「expired domain」的過期域名hobsonsmscom則使他們能夠攻擊至少三所不同的大學。他們還使用一種名為「網域影」的策略，即透過竊取登入訊息，在合法品牌的名義下創建一個秘密子網域。據報道，其中一個影子網域自 2020 年以來一直在運行，卻一直未被發現。
識破「免費禮物」陷阱

發送給受害者的電子郵件通常很簡單，承諾贈送禮物或聲稱雲端儲存配額已用完。郵件內容通常不是文字，而是一張大圖片。點擊圖片後，使用者會被引導至流量分發系統(TDS)。 TDS 會檢查受害者使用的是行動裝置還是住宅 IP 位址，然後再顯示最終的詐騙頁面。

我們都知道，這些誘餌旨在以支付運費為幌子竊取信用卡資訊。為了保護自己，務必對那些好得令人難以置信的優惠保持警惕，尤其是那些來自未知來源、以可點擊圖片形式出現的優惠。

資料來源：https://hackread.com/hackers-arpa-top-level-domain-phishing-scams/