Subdomain Hijacking, oder die Übernahme von Subdomains, ist eine Sicherheitsbedrohung, bei der Angreifer die Kontrolle über eine Subdomain einer legitimen Website erlangen. Diese Angriffsmethode kann ausgenutzt werden, um Sicherheitsmaßnahmen wie Sender Policy Framework (SPF) und ähnliche E-Mail-Authentifizierungsverfahren zu umgehen und steht daher bei Phishing Kriminellen hoch im Kurs, um nicht im Spam Postfach zu landen.
SPF ist ein E-Mail-Authentifizierungsverfahren, das dazu dient, zu überprüfen, ob eingehende E-Mails von dem angegebenen Server in der Domain des Absenders autorisiert sind. Durch die Übernahme einer Subdomain können Angreifer E-Mails so aussehen lassen, als kämen sie von einer legitimen Quelle, was die Wahrscheinlichkeit erhöht, dass diese E-Mails die Spamfilter umgehen.
Wie funktioniert Subdomain Hijacking?
Subdomain Hijacking kann auf verschiedene Weise durchgeführt werden, aber eine gängige Methode beinhaltet das Ausnutzen von verwaisten DNS-Einträgen. Ein verwaister DNS-Eintrag liegt vor, wenn eine Subdomain auf eine Ressource (wie einen Server oder eine Cloud-Dienst-Instanz) verweist, die nicht mehr existiert oder nicht mehr in Gebrauch ist. Angreifer können diese Situation ausnutzen, indem sie:
- Identifizierung verwaister Subdomains: Angreifer finden Subdomains mit DNS-Einträgen, die auf nicht mehr existierende Ressourcen zeigen.
- Registrierung der Ressource: Sie registrieren die nicht mehr existierende Ressource unter ihrer Kontrolle, sei es ein Cloud-Dienst-Konto oder ein Server.
- Übernahme der Subdomain: Sobald die Ressource unter der Kontrolle des Angreifers ist, übernehmen sie die Subdomain. Jetzt können sie Inhalte hosten oder E-Mails von dieser Subdomain aus versenden, als ob sie legitime Betreiber wären.
Umgehung von SPF und anderen E-Mail-Sicherheitsmaßnahmen
Mit der Kontrolle über eine legitime Subdomain können Angreifer E-Mail-Sicherheitsmaßnahmen wie SPF, DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting, and Conformance (DMARC) umgehen, indem sie:
- E-Mails von der übernommenen Subdomain senden: Da die E-Mails von einer legitimen Subdomain aus versendet werden, erscheinen sie als von der Hauptdomain autorisiert. SPF-Checks, die lediglich überprüfen, ob der sendende Server für die Domain autorisiert ist, können dadurch getäuscht werden.
- Legitime Erscheinung: E-Mails, die von einer echten Subdomain einer bekannten Domain gesendet werden, wirken vertrauenswürdiger, was die Effektivität von Phishing-Angriffen und Malware-Verbreitung erhöht.
- Ausnutzung des Vertrauens: Nutzer und E-Mail-Filter könnten E-Mails von einer bekannten Subdomain als sicher einstufen, was das Risiko erhöht, dass schädliche Inhalte oder Links geöffnet werden.
Schutzmaßnahmen gegen Subdomain Hijacking
- Regelmäßige Überprüfung von DNS-Einträgen: Stellen Sie sicher, dass alle DNS-Einträge gültig sind und auf aktive Ressourcen zeigen.
- Verwendung von DNSSEC: DNS Security Extensions (DNSSEC) helfen, die Authentizität von DNS-Antworten zu gewährleisten und reduzieren das Risiko von DNS-Hijacking.
- Überwachung von Domain- und Subdomain-Registrierungen: Werkzeuge und Dienste, die Domains und Subdomains auf potenzielle Sicherheitsrisiken überwachen, können frühzeitig Warnungen ausgeben.
- Implementierung umfassender E-Mail-Authentifizierungsrichtlinien: Eine starke DMARC-Politik kann helfen, die Auswirkungen von E-Mail-Spoofing und Phishing zu minimieren, auch wenn eine Subdomain kompromittiert wurde.
Subdomain Hijacking stellt eine ernsthafte Bedrohung für die Online-Sicherheit dar, insbesondere weil es Angreifern ermöglicht, vertrauenswürdig erscheinende E-Mails zu versenden, die Sicherheitsmaßnahmen wie SPF umgehen können. Organisationen sollten proaktive Schritte unternehmen, um ihre Subdomains zu schützen und regelmäßig ihre Sicherheitskonfigurationen zu überprüfen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: