Guardio

以色列資安業者Guardio近日揭露了一起大規模的廣告/網釣郵件惡意活動SubdoMailing，主要利用眾多已遭知名品牌棄置的網域名稱或子網域來躲過電子郵件過濾機制，同時披露了執行該活動的組織ResurrecAds。受害品牌涵蓋MSN、VMware、McAfee、The Economist、Cornell University、CBS、Swatch與eBay等。

Guardio追蹤了SubdoMailing近60天來的活動，顯示有超過8,000個網域名稱、逾1.3萬個子網域被駭客接管，每天傳送超過500萬封垃圾或惡意電子郵件。

Guardio指出，駭客主要利用的媒介為CNAME與SPF。其中，CNAME的全名為Canonical Name，是網域名稱系統（DNS）中的一種資源紀錄，它能夠將A網域名稱對應到B網域名稱，以Guardio所發現的一個濫用marthastewart.msn.com網域名稱的活動為例，這是微軟MSN服務的子網域，它的CNAME紀錄被對應到msnmarthastewartsweeps.com，而後者是微軟在2001年5月所申請的網域，但在同年8月就被棄置。

在2022年9月，駭客挾持了已無內容的marthastewart.msn.com，發現其CNAME紀錄中的msnmarthastewartsweeps.com屬於無人網域，於是便註冊了該網域，而能夠以等同於MSN的身分來發送電子郵件，躲過了電子郵件過濾機制。

SPF全名則是寄件者政策框架（Sender Policy Framework），為一電子郵件驗證方式，可確保發送郵件的伺服器有權自發送者的網域寄出郵件，通常是在網域的DNS中存放了可用來代替該網域傳送郵件的伺服器及網域的SPF紀錄。

然而，當品牌網域的電子郵件或行銷服務供應商不再運作，或者是這些供應商棄置了原來所使用的網域名稱時，駭客就會馬上取得這些網域的所有權，進而以品牌的名義發送大量的垃圾、廣告或惡意郵件。

Guardio相信，ResurrecAds正持續且大規模地掃描網路上那些曾經存在、之後卻被遺忘的子網域，特別是那些擁有混亂CNAME紀錄的網域，接著快速註冊位於這些CNAME紀錄中的閒置網域，以取得這些品牌網域的控制權。

利用這些品牌網域來發送垃圾郵件，不僅能逃過電子郵件過濾機制，還能順便降低使用者的危機意識。除了已發現遭到濫用的逾8,000個網域之外，Guardio還偵測到該數字以每天新增數百個的速度成長。

懷疑某個子網域遭到濫用，或是想確定自家子網域安全性的使用者可透過Guardio所提供的免費工具進行檢查。