Peneliti keamanan siber baru-baru ini mengungkap metode phishing yang memanfaatkan domain khusus ".arpa" dan reverse DNS IPv6 untuk mengelabui sistem keamanan email dan pemeriksaan reputasi domain. Domain .arpa sendiri merupakan top-level domain khusus yang difungsikan untuk infrastruktur internet, bukan untuk situs web publik. Salah satu kegunaannya adalah reverse DNS lookup, yang memungkinkan alamat IP dikaitkan kembali ke hostname, mempermudah sistem menentukan asal IP.
Dalam praktik standar, reverse DNS IPv4 menggunakan domain in-addr.arpa, sedangkan IPv6 menggunakan ip6.arpa. Proses ini mengubah alamat IP menjadi nama host yang ditulis terbalik dan ditambahkan ke domain khusus tersebut. Sebagai contoh, alamat IPv4 Google, 192.178.50.36, jika dicek dengan alat DiG, akan meresolusi ke hostname melalui in-addr.arpa, sementara IPv6, 2607:f8b0:4008:802::2004, akan menggunakan ip6.arpa sebelum akhirnya mengarah ke hostname normal. Teknik ini secara tradisional membantu verifikasi jaringan, namun kini disalahgunakan oleh aktor jahat atau attackers.
Kampanye phishing yang diamati oleh Infoblox memanfaatkan ip6.arpa untuk mengarahkan korban ke situs palsu. Dengan menguasai blok alamat IPv6 melalui layanan tunneling, para penyerang dapat mengonfigurasi reverse DNS agar menunjuk ke infrastruktur phishing. Alih-alih hanya menggunakan PTR record seperti seharusnya, mereka menambahkan A record untuk menghubungkan hostname reverse DNS ke server phishing. Strategi ini memungkinkan domain phishing sulit terdeteksi oleh gateway email karena alamat IP masih terlihat sah dan menggunakan reputasi DNS dari penyedia tepercaya seperti Cloudflare atau Hurricane Electric.
Dalam serangan ini, email phishing biasanya menyertakan gambar atau tautan yang mengarah ke hostname reverse IPv6, misalnya "d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa." Ketika pengguna mengeklik, perangkat akan melakukan resolusi ke server DNS yang dikontrol penyerang. Jika korban memenuhi kriteria tertentu seperti jenis perangkat, alamat IP, atau referer web mereka diarahkan ke situs phishing. Jika tidak, mereka dikirim ke situs sah, menjaga agar aktivitas penyerang tetap tersembunyi. Infoblox mencatat bahwa tautan phishing ini bersifat sementara, aktif hanya beberapa hari, kemudian dialihkan ke halaman error atau situs asli, mempersulit analisis kampanye oleh peneliti keamanan.
Salah satu tantangan signifikan dari teknik ini adalah domain .arpa tidak menyertakan data registrasi seperti WHOIS, umur domain, atau informasi kontak. Hal ini membuat deteksi otomatis oleh email gateway dan sistem keamanan tradisional menjadi lebih sulit. Selain itu, peneliti menemukan bahwa para aktor ancaman juga menggunakan metode lain, termasuk pembajakan CNAME yang menganggur dan subdomain shadowing, sehingga memungkinkan distribusi konten phishing melalui subdomain organisasi resmi. Infoblox melaporkan lebih dari 100 kasus di mana CNAME milik lembaga pemerintah, universitas, perusahaan telekomunikasi, media, dan retailer digunakan untuk mengirim phishing.
Eksploitasi reverse DNS ini menyoroti bagaimana fitur jaringan yang biasanya dipercaya oleh sistem keamanan dapat dijadikan vektor serangan. Dengan mengubah fungsi infrastruktur tepercaya menjadi alat phishing, penyerang mampu membuat URL yang sulit diblokir dan melewati pemeriksaan reputasi domain, meningkatkan efektivitas serangan mereka. Penggunaan IPv6 yang relatif baru serta teknik reverse DNS menambah lapisan kompleksitas, karena banyak sistem keamanan belum sepenuhnya mengawasi konfigurasi ip6.arpa secara ketat.
Dampak dari kampanye ini cukup luas, terutama bagi organisasi yang memiliki interaksi email tinggi dengan pihak luar. Serangan ini tidak hanya menargetkan individu, tetapi juga infrastruktur TI organisasi, karena domain reverse DNS dan subdomain sah yang dibajak memberikan penyerang legitimasi tambahan di mata sistem keamanan. Teknik ini dapat digunakan untuk mencuri kredensial, data sensitif, atau untuk menanam malware melalui situs phishing yang tampak sah.
Infoblox menekankan bahwa mitigasi utama tetap pada kesadaran pengguna. Memastikan tidak mengklik tautan atau gambar yang mencurigakan dalam email, serta mengakses layanan langsung melalui situs resmi, adalah langkah paling efektif. Selain itu, audit konfigurasi reverse DNS dan pemantauan subdomain secara rutin menjadi praktik penting bagi tim keamanan untuk mendeteksi potensi penyalahgunaan lebih awal. Dengan memahami modus operandi penyerang ini, organisasi dan pengguna dapat menyesuaikan strategi pertahanan mereka terhadap ancaman phishing berbasis infrastruktur DNS yang semakin canggih.
Kasus ini juga menjadi peringatan bagi komunitas keamanan siber dan pengembang, bahwa fitur teknis yang dirancang untuk memperlancar jaringan, seperti reverse DNS, dapat disalahgunakan. Penanganan yang tepat melibatkan kombinasi kesadaran pengguna, audit infrastruktur, dan pemanfaatan teknologi deteksi phishing yang mampu mengenali pola tidak biasa pada domain .arpa dan subdomain yang terkait. Dengan pendekatan ini, risiko kebocoran data dan kompromi akun akibat phishing melalui IPv6 reverse DNS dapat diminimalkan, sekaligus memperkuat postur keamanan siber organisasi di tengah ancaman yang semakin kompleks.