Kampanye penipuan iklan secara masif bernama “SubdoMailing” menggunakan lebih dari 8.000 domain internet sah dan 13.000 subdomain, untuk mengirim hingga lima juta email per hari guna menghasilkan pendapatan melalui penipuan dan iklan palsu.
Kampanye ini disebut “SubdoMailing“, pelaku membajak subdomain dan domain yang dimilik perusahaan terkenal untuk mengirimkan email berbahaya mereka.
Karena domain ini milik perusahaan tepercaya, mereka mendapatkan keuntungan karena dapat melewati filter spam dan, dalam beberapa kasus, memanfaatkan kebijakan email SPF dan DKIM yang dikonfigurasi untuk memberi tahu email gateway bahwa email tersebut sah dan bukan spam.
Beberapa merek terkenal yang menjadi korban kampanye pembajakan domain ini antara lain MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel, dan eBay.
Merek-merek terkenal ini tanpa sadar memberikan legitimasi pada email palsu dan membantu mereka melewati filter keamanan.
Mengklik tombol yang disematkan di email akan membawa pengguna melalui serangkaian pengalihan, menghasilkan pendapatan bagi pelaku melalui tampilan iklan palsu.
Peneliti Guardio Labs Nati Tal dan Oleg Zaytsev menemukan spam penipuan iklan dan melaporkan bahwa kegiatan tersebut telah berlangsung sejak tahun 2022.
Pembajakan Domain Untuk Kirim Spam
Investigasi Guardio Labs dimulai dengan mendeteksi pola yang tidak biasa dalam metadata email, yang mengarah ditemukan operasi pembajakan subdomain yang masif.
Studi kasus email yang diberi otorisasi palsu oleh MSN menunjukkan berbagai taktik yang digunakan penyerang untuk membuat email mereka tampak sah dan menghindari pemblokiran, termasuk menyalahgunakan pemeriksaan SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), dan DMARC (Domain-based Message Authentication, Reporting, and Conformance) Protokol.
Tactics combined by the threat actor – Source: Guardio Labs
Teknik email ini digunakan untuk membuktikan email aman bahwa pengirim email adalah sah dan tidak akan diperlakukan sebagai spam.
Sumber : Bleeping Computer