Sicherheitsanalysten von Infoblox haben eine ungewöhnliche Phishing-Kampagne identifiziert, in der Angreifer das technische Top-Level-Domain .arpa und das IPv6-Reverse-DNS (ip6.arpa) ausnutzen, um Domain-Reputationsprüfungen und Filter von E-Mail-Gateways zu umgehen. Die Angriffe basieren nicht auf einer Protokoll-Schwachstelle, sondern auf Fehlkonfigurationen und laxen Richtlinien bei DNS-Providern – ein typisches Beispiel für den Missbrauch „grauer Zonen“ in der Internet-Infrastruktur.
Was ist .arpa und warum der technische TLD für Phishing attraktiv ist
Das Top-Level-Domain .arpa ist laut IETF-Spezifikationen (z. B. RFC 3172) ausschließlich für infrastrukturelle Aufgaben des Internets reserviert. Es dient insbesondere dem reverse DNS lookup, also der Auflösung von IP-Adressen in Hostnamen mittels PTR-Records. Für IPv4 erfolgt dies über die Zone in-addr.arpa, für IPv6 über ip6.arpa.
In der Regel werden in diesen Zonen lediglich PTR-Records verwaltet; Webinhalte oder klassische Hosting-Szenarien sind dort nicht vorgesehen. Zudem existieren für .arpa-Domains keine üblichen WHOIS-Daten – Informationen zu Inhabern, Registrierungsdatum oder Domainalter fehlen. Viele Anti-Spam- und Anti-Phishing-Lösungen stützen sich jedoch genau auf solche Reputationssignale. Dieser blinde Fleck macht .arpa für Angreifer besonders interessant.
Missbrauch von ip6.arpa: A-Records statt PTR-Records
Nach Erkenntnissen von Infoblox mieten oder erhalten Angreifer IPv6-Adressblöcke und damit verbunden die Delegation der zugehörigen Reverse-DNS-Zonen in ip6.arpa. Damit können sie selbstständig DNS-Einträge in diesen Zonen verwalten – ein regulärer Vorgang, der im Normalfall nur PTR-Records betrifft.
Statt der erwarteten PTR-Records legen die Angreifer jedoch in ip6.arpa A-Records an, die direkt auf Server ihrer Phishing-Infrastruktur verweisen. Der DNS-Standard verbietet diese Konfiguration nicht explizit, und viele DNS-Provider erzwingen keine Einschränkung des Record-Typs in Reverse-Zonen. Infoblox beobachtete solche Konfigurationen unter anderem bei Kunden von Cloudflare und Hurricane Electric; grundsätzlich kann jedoch jeder Provider betroffen sein, der keine restriktiven Richtlinien für Reverse-Zonen implementiert.
Phishing-Taktik: zufällige Subdomains, verschleierte Links und TDS
Um Blocklisten und signaturbasierte Erkennung zu erschweren, generieren die Täter massenhaft zufällige Subdomains innerhalb von ip6.arpa. So entstehen lange, schwer wiederverwendbare FQDNs, die häufig einen Teil der IPv6-Struktur abbilden, etwa: d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa. Solche Hostnamen lassen sich nur schwer in klassischen Blacklists pflegen und sind retrospektiv kaum vollständig zu erfassen.
In den Phishing-E-Mails werden diese URLs typischerweise hinter Bannern, Buttons oder eingebetteten Bildern versteckt. Versprochen werden Gewinne, Bonusprogramme oder die angebliche Behebung von Kontoproblemen. Da viele Nutzer auf das sichtbare Branding und nicht auf den tatsächlichen Hostnamen achten, sinkt die Chance, die ungewöhnliche .arpa-Adresse eigenständig als Risiko zu erkennen.
Nach dem Klick wird der Traffic über ein Traffic Distribution System (TDS) geleitet. Diese Systeme filtern Zugriffe anhand zahlreicher Merkmale wie Gerätetyp, IP-Adresse, Geolokation, Referrer oder Indikatoren für Sandboxing und Analyseumgebungen. Nur „wertvolle“ Ziele werden auf vollwertige Phishing-Seiten umgeleitet, während andere auf legitime Inhalte stoßen. Dies erschwert sowohl die automatisierte Detektion als auch die forensische Analyse erheblich.
Warum herkömmliche Sicherheitsmechanismen an ihre Grenzen stoßen
Der Hauptvorteil für die Angreifer liegt darin, dass Domain-Reputationsprüfungen für .arpa praktisch nicht greifen. Ohne WHOIS-Daten, Altersmetriken oder Kontaktinformationen fehlen wesentliche Signale, auf denen viele E-Mail-Gateways, Secure Web Gateways und Threat-Intelligence-Feeds basieren. In der Folge werden .arpa-Hostnamen oft nicht automatisch als verdächtig eingestuft, obwohl sie direkt zu Phishing-Inhalten führen.
Hinzu kommt ein kurzer Lebenszyklus der Domains. Laut Infoblox sind die in ip6.arpa genutzten Hostnamen häufig nur wenige Tage aktiv, bevor sie gelöscht oder durch neue ersetzt werden. Diese „Wegwerf-Domains“ unterlaufen klassische Blacklist-Ansätze und erschweren eine rückblickende Korrelation von Vorfällen – ein Muster, das auch in anderen Phishing-Kampagnen regelmäßig beobachtet wird und in Branchenreports wie dem Verizon DBIR seit Jahren als zentrale Herausforderung beschrieben wird.
Zusätzliche Techniken: dangling CNAMEs und Domain Shadowing
Parallel zum Missbrauch von .arpa setzen die Angreifer auch auf dangling CNAMEs. Dabei verweisen CNAME-Records weiterhin auf Ressourcen, die der ursprüngliche Betreiber nicht mehr kontrolliert (z. B. abgelaufene Cloud- oder SaaS-Instanzen). Übernimmt ein Angreifer die Zielinfrastruktur, kann er unter dem unveränderten, legitimen Hostnamen beliebige Inhalte – einschließlich Phishing-Seiten – ausliefern, ohne dass der sichtbare Domainname sofort Misstrauen weckt.
Ergänzend kommt Domain Shadowing zum Einsatz: Angreifer legen unbemerkt subtile Subdomains im DNS legitimer Organisationen an – etwa von Behörden, Hochschulen, Telekommunikationsunternehmen, Medien oder Händlern. Laut Infoblox wurden in der beobachteten Kampagne über mehr als hundert Organisationen hinweg kompromittierte CNAMEs genutzt; einzelne Domains tauchten in Hunderten von Phishing-Mails pro Tag auf. Da hier produktive Geschäftskommunikation mitbetroffen ist, wird eine generelle Blockierung dieser Domains für Verteidiger nahezu unmöglich.
Empfehlungen: DNS-Kontrollen, Monitoring und Awareness stärken
Die Kampagne zeigt, dass moderne Angriffe immer häufiger Policy-Lücken und Konfigurationsschwächen ausnutzen, anstatt reine Software-Schwachstellen anzugreifen. Unternehmen sollten daher ihre DNS-Governance und E-Mail-Sicherheitsarchitektur kritisch überprüfen und anpassen:
Erstens sollten Betreiber von IPv6-Netzen und DNS-Providern in Reverse-Zonen (ip6.arpa / in-addr.arpa) den erlaubten Record-Typ auf PTR beschränken oder zumindest aktiv auf A-, AAAA- und CNAME-Records prüfen. Anormale Konfigurationen müssen automatisch gemeldet und validiert werden.
Zweitens ist ein DNS-zentriertes Monitoring erforderlich, das auch technische TLDs wie .arpa und ungewöhnliche FQDN-Muster in die Analyse einbezieht. Lösungen für DNS-Security, kombiniert mit verhaltensbasierter Erkennung von Phishing-Kampagnen, erhöhen die Chance, neuartige Taktiken frühzeitig zu erkennen.
Drittens sollten E-Mail-Gateways und Web-Filter nicht ausschließlich auf Domain-Reputation setzen, sondern mehrstufige Analysen durchführen: URL-Entschleierung, Sandbox-Analysen von Zielseiten, Erkennung von TDS-Mustern und die Korrelation mit bekannten Kampagnenindikatoren.
Schließlich bleibt die Sensibilisierung von Mitarbeitenden ein zentraler Faktor. Schulungen sollten nicht nur klassische Phishing-Merkmale, sondern auch ungewöhnliche Hostnamen, technische TLDs und verdächtige Weiterleitungen thematisieren. In Kombination mit klaren Meldewegen lassen sich Vorfälle schneller identifizieren und eindämmen.
Die beobachtete Ausnutzung von .arpa und IPv6-Reverse-DNS unterstreicht, wie wichtig ein ganzheitlicher Blick auf die Internet-Infrastruktur geworden ist. Organisationen, die ihre DNS-Umgebung proaktiv härten, Reverse-Zonen aktiv überwachen und E-Mail-Sicherheit mit verhaltensbasierter Analyse ergänzen, reduzieren ihr Risiko gegenüber solchen hochgradig verschleierten Phishing-Kampagnen deutlich. Es lohnt sich, bestehende Sicherheitskonzepte zeitnah zu überprüfen und insbesondere die Rolle von DNS in der eigenen Cyberabwehr strategisch neu zu bewerten.
