Microsoft ontdekte onlangs een phishing-as-a-service operatie die bij één enkele aanval 300.000 unieke subdomeinen gebruikte. De phishingdienst heet BulletProofLink en biedt klanten een abonnement van 800 dollar per maand.

Als onderdeel van het abonnement krijgen klanten hosting, phishingtemplates en een helpdesk. De phishingtemplates die voor de phishingsites worden gebruikt sturen ingevulde gebruikersnamen en wachtwoorden niet alleen door naar de klant, maar ook naar de phishing-as-a-service aanbieder, die zodoende dubbel aan de klant verdient.

Een volgens Microsoft interessant onderdeel van de campagne is een techniek die het "infinite subdomain abuse" noemt. Hierbij weten aanvallers de dns-instellingen van een domein aan te passen of wanneer een gecompromitteerd van wildcard subdomeinen gebruikmaakt. Hierdoor kunnen aanvallers een oneindig aantal subdomeinen aanmaken en zo voor elke ontvanger van de phishingmail een unieke url creëren.

Microsoft stelt dat de techniek steeds populairder onder aanvallers wordt. In plaats van te werken met een groot aantal eenmalig te gebruiken domeinnamen, is er een onbeperkt aantal subdomeinen aan te maken dat naar een klein aantal phishingpagina's hoeft door te verwijzen. Daarnaast hoeft de website zelf niet gecompromitteerd te worden maar alleen de dns-instellingen. 

Alles bij de bron; Security