Image credit: Freepix
Taktik Peretas Mengelabui Sistem Keamanan – Dalam dunia keamanan siber, domain tingkat atas (TLD) seperti .com atau .id sudah biasa kita temui.
Namun, baru-baru ini para peneliti menemukan sebuah kampanye phising yang menggunakan taktik yang sangat tidak biasa, menyalahgunakan domain .arpa.
Domain ini bukan ditujukan untuk situs web biasa, melainkan dicadangkan khusus untuk infrastruktur teknis internet, seperti pemetaan balik alamat IP (reverse DNS).
Dengan memanfaatkan celah pada domain infrastruktur ini, penjahat siber berhasil melewati pemeriksaan reputasi domain dan gerbang keamanan email (email gateways) dengan lebih mudah.
Karena domain .arpa dianggap sebagai bagian fundamental dari fungsi internet, banyak alat keamanan yang secara otomatis menganggapnya aman atau tidak memantaunya secara ketat.
|
Baca juga: Qilin Evolusi Ancaman Siber Lintas Platform |
Cara Kerja Taktik Penipuan
Secara teknis, domain .arpa digunakan untuk fungsi Reverse DNS lookup, di mana sistem memetakan alamat IP kembali ke nama host. IPv4 menggunakan domain in-addr.arpa, sedangkan IPv6 menggunakan ip6.arpa.
Penyerang menemukan cara licik untuk menyalahgunakan fungsi ini melalui langkah-langkah berikut:
- Penguasaan Blok IP: Penyerang memperoleh blok alamat IPv6 melalui layanan terowongan (tunneling) IPv6.
- Manipulasi Rekaman DNS: Setelah mengontrol rentang IP tersebut, mereka masuk ke zona DNS untuk rentang IP tersebut. Alih-alih membuat rekaman PTR (yang lazim digunakan untuk identifikasi host), mereka justru membuat rekaman A yang mengarahkan domain infrastruktur tersebut ke server phising mereka.
- Memanfaatkan Reputasi Penyedia: Peneliti menemukan bahwa peretas menggunakan penyedia DNS ternama seperti Cloudflare untuk menyembunyikan lokasi asli infrastruktur mereka. Karena penyedia ini memiliki reputasi baik, sistem keamanan sering kali gagal mendeteksi aktivitas mencurigakan.
- Umpan Email yang Menyesat: Email phising dikirim dengan iming-iming hadiah atau notifikasi akun. Tautan atau gambar dalam email tersebut tidak menggunakan nama domain biasa, melainkan nama host panjang seperti d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.
Mengapa Serangan Ini Sulit Dideteksi?
Taktik ini sangat efektif karena menyerang titik buta sistem keamanan digital saat ini. Berikut adalah beberapa alasan mengapa serangan ini sangat berbahaya:
Tanpa Data WHOIS: Karena domain .arpa adalah domain infrastruktur, mereka tidak memiliki data pendaftaran publik seperti informasi pemilik, usia domain, atau kontak teknis yang biasanya digunakan alat keamanan untuk menilai risiko.
- Tautan phising ini biasanya hanya aktif selama beberapa hari sebelum dialihkan ke situs legal. Hal ini membuat peneliti keamanan sulit melakukan analisis mendalam.
- Korban yang mengklik tautan akan disaring berdasarkan tipe perangkat dan lokasi. Jika korban dianggap sebagai target valid, mereka diarahkan ke situs phising. Jika terdeteksi sebagai peneliti atau sistem keamanan, mereka diarahkan ke situs resmi untuk menutupi jejak.
|
Baca juga: Ancaman Karyawan Samaran Deepfake |
Implikasi bagi Pengguna dan Organisasi
Selain menyalahgunakan domain .arpa, peneliti juga mengamati bahwa kelompok ini melakukan teknik subdomain shadowing dan pembajakan rekaman CNAME yang menggantung.
Tercatat lebih dari 100 instansi, mulai dari universitas hingga lembaga pemerintah, yang subdominannya disalahgunakan untuk menyebarkan konten phising.
Bagi masyarakat di Indonesia, risiko ini sangat nyata:
- Kepercayaan pada Domain Teknis: Banyak pengguna yang mungkin tidak curiga melihat alamat panjang yang berakhir dengan .arpa, mengira itu adalah bagian dari sistem internal atau teknis yang aman.
- Bypass Gateway Email: Banyak filter email di perusahaan Indonesia yang berfokus pada pemblokiran domain .xyz atau domain murah lainnya, namun meloloskan domain infrastruktur seperti .arpa.
Melindungi Diri dari Phising Infrastruktur
Menghadapi serangan yang menyasar infrastruktur internet memerlukan ketelitian ekstra. Peneliti merekomendasikan langkah-langkah berikut:
Kewaspadaan Terhadap Tautan:
- Jangan pernah mengklik tautan atau gambar dalam email yang tidak Anda harapkan, meskipun pengirimnya terlihat meyakinkan.
- Selalu akses layanan (seperti bank atau media sosial) langsung melalui situs resmi atau aplikasi mereka, bukan melalui tautan di email.
Bagi Tim TI dan Keamanan:
- Lakukan audit terhadap rekaman DNS dan CNAME organisasi Anda secara rutin untuk memastikan tidak ada rekaman yang “menggantung” yang bisa dibajak.
- Konfigurasikan gerbang keamanan email untuk memeriksa pola URL yang mencurigakan, termasuk penggunaan domain .arpa yang tidak lazim dalam badan email.
Serangan ini membuktikan bahwa penjahat siber akan selalu mencari celah pada bagian paling dasar dari teknologi internet untuk melancarkan aksinya.
Dengan menyalahgunakan domain .arpa, peretas berhasil menciptakan senjata baru yang mampu menembus pertahanan digital konvensional. Pendidikan pengguna dan pemantauan.
Sumber berita:
