Cos'è il trucco DNS?

Il "trucco DNS" si riferisce spesso a varie tecniche utilizzate per manipolare le risposte DNS, tra cui il cache poisoning, lo spoofing delle risposte o lo sfruttamento delle vulnerabilità del resolver DNS. Questi trucchi sono comunemente utilizzati negli attacchi di dirottamento DNS per reindirizzare gli utenti verso siti web dannosi a loro insaputa.

Il protocollo DNSSEC è in grado di prevenire tutti i tipi di dirottamento DNS?

Il protocollo DNSSEC contribuisce a prevenire lo spoofing DNS e il cache poisoning, ma non è in grado di proteggere da tutti i metodi di dirottamento, come gli account di registrar compromessi o gli attacchi a livello di router. Si tratta di un importante livello di sicurezza, ma dovrebbe essere combinato con altre misure di protezione come i blocchi di dominio e le pratiche di registrazione sicure.

Cosa devo fare se il mio account di registrazione del dominio è stato compromesso?

Contatta immediatamente la linea di assistenza di emergenza del tuo registrar, richiedi il blocco dell'account, modifica tutte le credenziali dell'account, abilita l'autenticazione a due fattori, controlla tutte le modifiche recenti e valuta la possibilità di trasferirti a un registrar più sicuro, se necessario. Documenta tutte le azioni intraprese per eventuali richieste di risarcimento legali o assicurative.

Che cos'è il dirottamento DNS? Come individuarlo, risolverlo e prevenirlo

I punti chiave da prendere in considerazione

Il dirottamento DNS è un tipo di attacco in cui gli hacker manipolano le risposte DNS per reindirizzare gli utenti verso siti web dannosi, rubare dati sensibili o intercettare il traffico web e le comunicazioni via e-mail.
Esistono quattro tipi principali di dirottamento DNS: il dirottamento DNS locale, il dirottamento DNS del router, il dirottamento DNS da parte di server non autorizzati e gli attacchi man-in-the-middle, ciascuno dei quali prende di mira un punto diverso del processo di risoluzione DNS.
Tra i sintomi più comuni del dirottamento DNS figurano il caricamento lento delle pagine web, la comparsa frequente di annunci pubblicitari a comparsa, i reindirizzamenti imprevisti, gli avvisi del browser e i certificati SSL non corrispondenti.
È possibile individuare un dirottamento DNS controllando le impostazioni DNS del router, eseguendo il ping di una rete, verificando il file hosts del dispositivo o utilizzando strumenti online come WhoIsMyDNS.
La prevenzione richiede un approccio su più livelli che comprenda l'implementazione del protocollo DNSSEC, fornitori DNS affidabili, firmware dei router aggiornato, buone pratiche relative alle password, autenticazione a più fattori e un monitoraggio regolare del DNS.

Il dirottamento DNS è uno degli attacchi informatici più insidiosi perché agisce in modo silenzioso.

Il tuo browser potrebbe continuare a visualizzare l'URL corretto e la connessione potrebbe sembrare normale, ma dietro le quinte un hacker ha già reindirizzato il tuo traffico verso un sito web fasullo creato appositamente per rubare le tue credenziali di accesso, i tuoi dati finanziari o altre informazioni sensibili.

In un attacco di dirottamento DNS, gli hacker ottengono l'accesso al tuo DNS e sostituiscono il tuo indirizzo IP unico con un altro, reindirizzando tutto il tuo traffico web a tua insaputa.

Questa guida spiega cos'è il dirottamento DNS, come funziona, quali sono i diversi tipi di attacchi, come capire se il proprio DNS è stato dirottato e quali misure adottare per risolvere il problema e prevenirlo.

Che cos'è il dirottamento DNS?

Per comprendere il fenomeno del dirottamento DNS, è utile capire innanzitutto come funziona il sistema dei nomi di dominio.

Il Il DNS è essenzialmente la rubrica telefonica di Internet. Quando digiti l'indirizzo di un sito web nel browser, il processo di ricerca DNS traduce quel nome di dominio leggibile dall'uomo nell'indirizzo IP effettivo del server che ospita il sito web.

Questo processo di risoluzione DNS avviene in pochi millisecondi ed è ciò che ti permette di navigare in Internet senza dover memorizzare stringhe di numeri.

Il dirottamento DNS è un tipo di attacco in cui gli hacker manipolano le risposte DNS per reindirizzare gli utenti verso destinazioni non autorizzate o dannose. Anziché far sì che le tue richieste DNS raggiungano il server corretto e restituiscano l'indirizzo IP giusto, l'hacker intercetta o altera il processo in modo che il tuo traffico venga inviato a un server da lui controllato.

Quali sono le cause del dirottamento DNS?

Il dirottamento del DNS si verifica a causa di diverse vulnerabilità e configurazioni errate che gli aggressori sfruttano per assumere il controllo dei processi di risoluzione DNS.

Cause principali:

Scarsa sicurezza degli account dei registrar DNS: password predefinite, assenza di autenticazione a due fattori e controlli di accesso inadeguati
Configurazioni DNS non sicure: server DNS configurati in modo errato, resolver aperti e restrizioni di accesso inadeguate
Software e firmware obsoleti: vulnerabilità non corrette in router, server DNS e infrastrutture di rete
Scadenza e perdita dei domini: domini scaduti che possono essere registrati nuovamente da soggetti malintenzionati
Attacchi di ingegneria sociale: gli amministratori di dominio e il personale di assistenza dei registrar nel mirino

Come funziona il dirottamento DNS

Ogni volta che visiti un sito web, il tuo dispositivo invia richieste DNS a un resolver DNS, il quale a sua volta interroga i server dei nomi autoritativi per individuare l'indirizzo IP corretto corrispondente al nome di dominio che hai digitato. Il dirottamento DNS sfrutta questo processo compromettendo uno o più punti lungo il percorso.

Il normale processo di risoluzione DNS

In una normale ricerca DNS, il processo segue un percorso prevedibile:

Digiti l'indirizzo di un sito web nel browser
Il tuo dispositivo invia una richiesta DNS a un resolver DNS, solitamente fornito dal tuo provider di servizi Internet
Il resolver verifica se nella propria cache DNS è presente una risposta memorizzata e, in caso contrario, interroga i resolver ricorsivi e i server dei nomi autoritativi
Viene restituito l'indirizzo IP corretto e il browser si connette al sito web corretto

Come gli hacker dirottano le connessioni DNS

Gli hacker possono dirottare il DNS in diversi punti di questo processo.

A seconda del metodo utilizzato, potrebbero installare malware sul tuo dispositivo, compromettere il tuo router, hackerare le connessioni DNS a livello di server o intercettare le comunicazioni DNS tra il tuo dispositivo e il resolver.

A prescindere dal metodo utilizzato, il risultato è lo stesso. Le tue richieste DNS ricevono in risposta record DNS falsi che reindirizzano il traffico verso il server DNS di un hacker o un sito dannoso. Da lì, l'hacker può mostrare un sito web falso che sembra identico a quello legittimo, rubare i dati mentre li inserisci o inviare malware al tuo dispositivo.

Tipi di attacchi di DNS Hijacking

Esistono diversi tipi di attacchi di dirottamento DNS, ciascuno dei quali prende di mira diversi componenti dell'infrastruttura DNS. Comprendere questi vettori di attacco aiuta le organizzazioni a implementare difese adeguate.

Dirottamento DNS locale

Nel dirottamento DNS locale, un hacker installa un malware su un dispositivo per modificarne le impostazioni DNS locali, reindirizzando tutte le richieste al proprio server. Questo processo ha solitamente inizio quando un utente scarica inconsapevolmente un trojan tramite un'e-mail di phishing o un sito web compromesso.

Una volta installato, il malware prende il controllo della configurazione DNS del dispositivo e, da quel momento:

Ogni richiesta DNS proveniente dal computer dell'utente viene reindirizzata attraverso un server DNS non autorizzato controllato dall'autore dell'attacco
Il problema riguarda solo il dispositivo infetto, non l'intera rete
L'autore dell'attacco ottiene il pieno controllo sulla destinazione del traffico Internet di quel dispositivo
È difficile individuarlo perché la modifica avviene in modo invisibile a livello del sistema operativo

Dirottamento DNS del router

Il dirottamento del DNS del router prende di mira il gateway di rete, consentendo agli hacker di modificare le impostazioni DNS del router e di influire su tutti i dispositivi ad esso collegati.

Gli hacker solitamente sfruttano le vulnerabilità del firmware o le password predefinite che non sono mai state modificate per accedere al pannello di amministrazione del router. Una volta entrati, l'impatto si estende all'intera rete:

Le richieste DNS di ogni dispositivo presente sulla rete, inclusi computer portatili, telefoni e dispositivi IoT, vengono reindirizzate in modo invisibile
Gli utenti non hanno modo di sapere che il loro traffico viene dirottato, poiché la violazione avviene a livello di router e non sui loro singoli dispositivi
L'attacco continua finché qualcuno non controlla manualmente le impostazioni DNS del router e si accorge della modifica non autorizzata

Questo rende il dirottamento del DNS dei router particolarmente pericoloso nelle abitazioni, nelle piccole imprese e nelle reti Wi-Fi pubbliche, dove più utenti condividono lo stesso gateway.

Dirottamento DNS non autorizzato

Il dirottamento DNS di tipo "rogue" consiste nel compromettere un server DNS legittimo per alterarne i record, reindirizzando gli utenti verso siti dannosi a loro insaputa. Questo attacco prende di mira l'infrastruttura DNS stessa.

E poiché la compromissione avviene a monte, le conseguenze sono di vasta portata:

I server DNS non autorizzati possono essere creati hackerando server legittimi o tramite configurazioni che inducono gli utenti a utilizzarli
Sono interessati tutti gli utenti che utilizzano il server compromesso per la risoluzione DNS
Gli hacker possono modificare i record DNS di determinati domini per reindirizzare il traffico, intercettare dati sensibili o diffondere malware su larga scala

Questo tipo di dirottamento DNS è più difficile da individuare perché sul dispositivo o sulla rete dell'utente finale non sembra esserci nulla di anomalo.

Attacchi DNS di tipo "man-in-the-middle"

Attacchi «man-in-the-middle» (MITM) sfruttano il percorso di comunicazione tra la richiesta di un utente e la risposta del server DNS, inserendo risposte DNS contraffatte prima che arrivi la risposta legittima.

L'autore dell'attacco si posiziona tra l'utente e il resolver DNS, intercettando il traffico DNS in tempo reale. Ecco come si svolge l'attacco:

Quando il tuo dispositivo invia una richiesta DNS, l'autore dell'attacco la intercetta e restituisce una risposta falsificata che rimanda a un indirizzo IP dannoso
Il tuo dispositivo accetta la risposta contraffatta perché arriva prima di quella legittima
Il browser si connette al server dell'autore dell'attacco, spesso senza mostrare alcun avviso visibile all'utente

Ecco perché oltre 10.000 clienti si affidano a PowerDMARC

Enorme riduzione dei tentativi di spoofing e delle e-mail non autorizzate
Onboarding più rapido + gestione automatizzata dell'autenticazione
Informazioni e segnalazioni in tempo reale sulle minacce in tutti i domini
Migliori tassi di consegna delle e-mail grazie a rigorosi Applicazione del DMARC

I primi 15 giorni sono offerti da noi

Iscriviti per una prova gratuita

Dirottamento DNS vs. Spoofing DNS vs. Avvelenamento della cache DNS

Il dirottamento DNS, lo spoofing DNS e l'avvelenamento della cache DNS sono fenomeni strettamente correlati, ma agiscono su fasi diverse del processo di risoluzione DNS. La tabella seguente illustra le principali differenze.

	Dirottamento DNS	Spoofing DNS	Avvelenamento della cache DNS
A chi si rivolge	Impostazioni DNS su un dispositivo, un router o un server DNS	Risposte DNS in transito tra l'utente e il resolver	Record DNS memorizzati nella cache dai resolver ricorsivi
Come funziona	L'autore dell'attacco modifica direttamente le configurazioni DNS o compromette l'infrastruttura DNS per reindirizzare le richieste	L'autore dell'attacco inserisce risposte DNS contraffatte nel flusso di comunicazione DNS	L'autore dell'attacco inserisce record DNS falsi nella cache di un resolver, in modo che tutti gli utenti che effettuano una query ricevano indirizzi IP errati
Portata dell'impatto	A seconda dei casi: singolo dispositivo (locale), intera rete (router) o tutti gli utenti di un server (non autorizzati)	In genere riguarda singole sessioni o connessioni	Potrebbe interessare migliaia di utenti che utilizzano lo stesso resolver DNS
Persistenza	Persiste finché le impostazioni o il server compromessi non vengono corretti	Di solito limitato alla durata dell'attacco attivo	Rimane attiva fino alla scadenza della voce della cache compromessa
Difficoltà di rilevamento	Moderato: rilevabile tramite verifiche delle impostazioni DNS e strumenti di monitoraggio	Difficile: le risposte contraffatte sono difficili da distinguere da quelle autentiche	Difficile: le voci compromesse sembrano normali record memorizzati nella cache
Difesa primaria	Impostazioni DNS sicure, password complesse, blocco del Registro di sistema, monitoraggio DNS	Convalida DNSSEC, DNS crittografato (DoH/DoT)	DNSSEC, convalida della cache, limitazione dell'affidabilità del resolver

L'impatto del dirottamento DNS sulle aziende

Per le aziende, un attacco di dirottamento DNS riuscito può avere conseguenze gravi e di vasta portata che incidono sui ricavi, sulla reputazione e sulla fiducia dei clienti.

Perdite finanziarie

Il dirottamento del DNS può causare ingenti perdite finanziarie alle aziende a causa del reindirizzamento degli utenti verso siti dannosi.

Quando i clienti che cercano di accedere al tuo sito web vengono reindirizzati a una versione contraffatta, gli hacker possono sottrarre i dati di pagamento, dirottare le transazioni o sfruttare tale accesso per sferrare ulteriori attacchi.

I costi legati alla gestione degli incidenti, ai rischi legali e alle sanzioni normative aggravano ulteriormente il danno.

Perdita di fiducia dei clienti

Le aziende possono perdere la fiducia dei clienti a causa del dirottamento del DNS, che può reindirizzare gli utenti verso siti web fraudolenti.

Se i tuoi clienti visitano quello che credono essere il tuo sito web e subiscono un furto dei propri dati, riterranno la tua organizzazione responsabile. Ciò indipendentemente dal fatto che la violazione abbia avuto origine dalla tua infrastruttura o da un server DNS compromesso. Riconquistare quella fiducia richiede molto più tempo rispetto alla risoluzione della vulnerabilità tecnica.

Violazione dei dati e diffusione di malware

Il dirottamento del DNS può compromettere le informazioni sensibili dei clienti, comprese le credenziali di accesso e i dati finanziari.

Oltre al furto di dati, le conseguenze del dirottamento DNS possono includere la diffusione di malware agli utenti reindirizzati verso siti dannosi. Ciò significa che il tuo dominio può diventare, senza che tu ne sia consapevole, un veicolo per infettare i tuoi stessi clienti.

Interruzione dell'operatività

Il dirottamento del DNS può compromettere le attività aziendali rendendo i siti web inaccessibili agli utenti legittimi.

Se i tuoi i record DNS vengono modificati in modo da non puntare più ai tuoi server reali, il tuo sito risulta di fatto offline per tutti coloro che sono interessati dal dirottamento. Anche le comunicazioni via e-mail possono essere intercettate, causando ulteriori interruzioni delle operazioni quotidiane.

Danno reputazionale

I criminali informatici ricorrono spesso al dirottamento del DNS per sferrare attacchi di phishing, che possono danneggiare ulteriormente la reputazione di un'azienda.

Quando il tuo marchio viene associato a un sito di phishing o a un sistema di distribuzione di malware, anche solo per un breve periodo, l'impatto sulla reputazione può persistere a lungo anche dopo che il problema tecnico è stato risolto.

Come individuare il dirottamento DNS

Il dirottamento DNS è progettato per passare inosservato, ma lascia comunque delle tracce. Conoscere i segnali di allarme ed eseguire i controlli adeguati può aiutarti a individuare una violazione prima che provochi danni gravi.

Ecco come individuare eventuali casi di dirottamento DNS sui tuoi dispositivi, sulla tua rete e sul tuo dominio.

Fai attenzione ai sintomi più comuni

Prima di eseguire qualsiasi strumento, presta attenzione ai segnali quotidiani che potrebbero indicare un problema con il tuo DNS. Tra i segnali più comuni di dirottamento del DNS figurano:

Pagine web che si caricano molto più lentamente del solito, poiché il traffico passa attraverso server dannosi
Frequenti annunci pubblicitari a comparsa su siti web che normalmente non li mostrano
Finestre pop-up che segnalano che il computer è stato infettato da malware, che spesso portano al download di falsi antivirus
Reindirizzamenti imprevisti verso siti web sconosciuti quando si tenta di visitare un URL legittimo
Avvisi del browser o certificati SSL non corrispondenti su siti di cui ti fidi
Problemi di consegna delle e-mail causati dall'intercettazione delle comunicazioni DNS

Controlla le impostazioni DNS del tuo router

Il dirottamento del DNS del router è uno dei casi più comuni, quindi verificare le impostazioni DNS del router è un primo passo fondamentale. Accedi al pannello di amministrazione del router e vai alla sezione dedicata alla configurazione del DNS.

Se i server DNS elencati non corrispondono a quelli che hai configurato, oppure se puntano a indirizzi IP che non conosci, è possibile che il tuo router sia stato compromesso.

Confronta i server DNS indicati con quelli di provider affidabili e noti, come Google Public DNS (8.8.8.8 e 8.8.4.4) o Cloudflare (1.1.1.1). Se noti qualcosa di sospetto, ripristina immediatamente le impostazioni precedenti e aggiorna la password del router.

Controlla il file hosts del tuo dispositivo

Per verificare la presenza di un dirottamento DNS locale, controlla il contenuto del file hosts sul tuo dispositivo. Il file hosts associa i nomi di dominio agli indirizzi IP e può essere modificato da malware per reindirizzare determinati siti web verso un server non autorizzato.

Su Windows, il file hosts si trova in C:\Windows\System32\drivers\etc\hosts
Su macOS e Linux, si trova in \etc\hosts

Apri il file e cerca eventuali voci che non hai aggiunto tu. Se noti associazioni tra domini e indirizzi IP che non riconosci, in particolare per siti bancari, provider di posta elettronica o piattaforme di social media, il tuo dispositivo potrebbe essere stato compromesso.

Eseguire un ping sulla rete per verificare le risposte DNS

Un semplice test per verificare la presenza di un dirottamento DNS consiste nell'eseguire il comando ping su un dominio inesistente e osservare la risposta. Apri il prompt dei comandi o il terminale ed esegui il comando ping su un dominio che non dovrebbe essere risolto, ad esempio “thissitedoesnotexist12345.com”.

Se il comando ping restituisce un indirizzo IP anziché un messaggio di errore, è possibile che le tue richieste DNS vengano reindirizzate verso un server DNS non autorizzato.

È inoltre possibile utilizzare i comandi nslookup o dig per interrogare nomi di dominio specifici e verificare che gli indirizzi IP restituiti corrispondano agli indirizzi IP legittimi previsti.

Utilizza gli strumenti online per verificare eventuali dirottamenti DNS

Gli strumenti online possono aiutarti a verificare rapidamente se il tuo DNS è stato manomesso.

Puoi utilizzare servizi online come WhoIsMyDNS per visualizzare i server DNS che stai utilizzando e verificare se sono autorizzati. Se i server DNS indicati non corrispondono a quelli del tuo provider configurato o ai server predefiniti del tuo provider di servizi Internet, ciò potrebbe indicare una violazione della sicurezza.

L'uso di uno strumento di verifica del router può anche aiutarti a controllare se le impostazioni DNS del tuo router sono state modificate.

Gli strumenti di monitoraggio dei domini di PowerDMARC possono inoltre aiutarti a tenere sotto controllo le modifiche non autorizzate ai tuoi record DNS, offrendoti una visibilità in tempo reale su qualsiasi modifica apportata alla configurazione DNS del tuo dominio.

Come risolvere il dirottamento DNS

Se hai verificato che il tuo DNS è stato compromesso, è fondamentale agire rapidamente per limitare i danni. Vediamo come risolvere il problema del dirottamento del DNS, a seconda di dove si è verificata la compromissione.

Risolvi il problema del dirottamento del DNS locale sul tuo dispositivo

Se un malware ha modificato le impostazioni DNS locali, inizia ripristinando la configurazione DNS e scegliendo un provider affidabile.

Modifica le impostazioni DNS locali utilizzando server DNS pubblici affidabili, come quelli di Google (8.8.8.8 e 8.8.4.4) o di Cloudflare (1.1.1.1), per impedire immediatamente che le tue richieste vengano indirizzate verso un server non autorizzato.

Successivamente, esegui una scansione completa del sistema utilizzando un software antivirus aggiornato e strumenti anti-malware per individuare e rimuovere il trojan o altro software dannoso responsabile della modifica.

Dopo la scansione, controlla nuovamente il file hosts per assicurarti che non siano rimaste voci non autorizzate.

Risolvere il dirottamento del DNS del router

Se le impostazioni DNS del router sono state modificate, accedi al pannello di amministrazione del router e reimposta manualmente la configurazione DNS indicando il tuo provider DNS di fiducia preferito.

A questo punto, segui questi passaggi per proteggere il router:

Modifica immediatamente la password di amministratore del router, sostituendo eventuali password predefinite
Aggiorna il firmware del router all'ultima versione per correggere le vulnerabilità note del firmware
Disattivare la gestione remota se non è necessaria
Riavvia il router dopo aver apportato tutte le modifiche

Una volta messo in sicurezza il router, riavvia tutti i dispositivi collegati alla rete per svuotare la cache dei dati DNS che potrebbero ancora puntare al server DNS dell'autore dell'attacco.

Risolvere il dirottamento DNS a livello di dominio o di server

Se i record DNS del tuo dominio sono stati modificati senza autorizzazione, contatta immediatamente il tuo registrar per segnalare la violazione e richiedere l'annullamento di eventuali modifiche non autorizzate.

Una volta ripreso il controllo, segui questi passaggi per evitare che la situazione si ripeta:

Attiva il blocco del registro o il blocco client per l'account del tuo dominio, al fine di proteggerti da modifiche non autorizzate ai tuoi record DNS
Modifica tutte le password associate al tuo account presso il registrar e al portale di gestione DNS
Attiva l'autenticazione a due fattori per l'accesso al tuo account
Esaminare attentamente tutti i record DNS per verificare che non siano state apportate ulteriori modifiche non autorizzate
Analizzare i registri di accesso per capire in che modo l'autore dell'attacco sia riuscito a penetrare nel sistema

Per le organizzazioni che utilizzano PowerDMARC, il funzionalità di monitoraggio e di allerta della piattaforma possono aiutarti a rilevare rapidamente modifiche non autorizzate ai tuoi record.

Svuota la cache DNS

Indipendentemente dal luogo in cui si è verificato il dirottamento, svuotare la cache DNS del dispositivo garantisce la rimozione dei record obsoleti o compromessi e l'esecuzione di nuove ricerche in base alle impostazioni DNS corrette.

Su Windows, eseguire: ipconfig /flushdns
Su macOS, eseguire: sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
Su Linux, eseguire: sudo systemd-resolve –flush-caches

Dopo aver svuotato la cache, riavvia il browser e verifica che i siti web vengano caricati dai server corretti.

Come prevenire gli attacchi di dirottamento DNS

Risolvere il problema del dirottamento DNS dopo che si è verificato è importante, ma prevenirlo in primo luogo è molto più efficace. Una solida strategia di prevenzione interviene su ogni livello del processo di risoluzione DNS, dal dispositivo fino al registrar del dominio.

Utilizza un provider DNS affidabile che supporti il protocollo DNSSEC

L'utilizzo di servizi DNS affidabili, come Google Public DNS o Cloudflare, garantisce il supporto di funzionalità di sicurezza quali DNSSEC e la crittografia.

Il protocollo DNSSEC (Domain Name System Security Extensions) appone una firma digitale ai record DNS per verificarne l'autenticità, impedendo agli hacker di inserire record DNS falsi nel processo di risoluzione.

Utilizza un registrar che supporti il protocollo DNSSEC per garantire l'autenticità delle ricerche DNS. In questo modo avrai la certezza che le risposte DNS ricevute dai tuoi dispositivi non siano state manomesse durante il trasferimento.

Proteggi il tuo router

Il router è il punto di accesso all'intera rete e, se viene compromesso, tutti i dispositivi collegati sono a rischio. Segui questi passaggi per proteggere il router dal dirottamento DNS:

Modifica le credenziali predefinite del router subito dopo la configurazione, poiché le password predefinite sono note a molti e possono essere facilmente violate
Aggiorna regolarmente il firmware del router per correggere le vulnerabilità di sicurezza note
Disattivare l'amministrazione remota a meno che non sia espressamente richiesta
Aggiorna regolarmente la password del tuo router utilizzando una combinazione complessa e unica
Controlla periodicamente le impostazioni DNS del tuo router per assicurarti che non siano state modificate

Adottare rigide misure di sicurezza relative alle password e ai controlli di accesso

Adotta buone pratiche di sicurezza relative alle password creando password complesse e aggiornandole regolarmente su tutti gli account collegati alla tua infrastruttura DNS. Ciò include il tuo registrar di domini, il pannello di amministrazione del router, il portale di gestione DNS e gli account di hosting.

Altre misure di controllo degli accessi comprendono:

Attivazione dell'autenticazione a due fattori per l'accesso a tutti gli account relativi al DNS
Limitare l'accesso alle impostazioni DNS a pochi membri fidati del proprio team IT
Utilizzare un gestore di password per garantire l'uso di credenziali uniche su ogni sistema
Revocare immediatamente l'accesso quando i membri del team lasciano l'azienda o cambiano ruolo

Lettura consigliata: Come proteggere le tue password dall'intelligenza artificiale

Installa un antivirus e un programma anti-malware

L'installazione di un software antivirus aiuta a individuare i malware che potrebbero modificare le impostazioni DNS locali.

Utilizza un software anti-malware per proteggerti dai trojan e da altri programmi dannosi che prendono di mira le credenziali di accesso e le configurazioni DNS.

Assicurati che tutti i programmi di sicurezza siano aggiornati e impostati per eseguire scansioni automatiche. Individuare tempestivamente il malware sul computer di un utente può impedire un dirottamento DNS locale prima che l'autore dell'attacco riesca a ottenere un accesso significativo.

Limita la tua impronta digitale e riduci la tua esposizione

Più informazioni riescono a raccogliere gli hacker sulla tua infrastruttura DNS, più facile sarà per loro pianificare un attacco. Riduci la tua vulnerabilità:

Mantenere aggiornati il software DNS e le configurazioni del server
Evitare di rendere pubblici i dettagli dell'infrastruttura DNS interna
Utilizzo di un firewall DNS per filtrare le richieste DNS dannose e bloccare l'accesso a siti web noti per essere dannosi
Verificare regolarmente quali soggetti esterni hanno accesso ai dati DNS e agli account del registrar

Lista di controllo per il ripristino in caso di dirottamento DNS

Quando si verifica un problema con il DNS, può sembrare quasi che ti abbiano tolto il tappeto da sotto i piedi. Se sospetti un dirottamento del DNS, avere un piano ben definito fa tutta la differenza.

Questa lista di controllo ti guida attraverso i passaggi fondamentali per riprendere il controllo, ridurre al minimo i danni e riportare rapidamente il tuo sito alla normalità.

Azioni immediate (0-2 ore)

☐ Conferma l'incidente di dirottamento

☐ Contatta il registrar del dominio

☐ Isolare i sistemi interessati

☐ Prove documentali

☐ Avvisare il team di risposta agli incidenti

Recupero a breve termine (2-24 ore)

☐ Riprendere il controllo del dominio

☐ Ripristina i record DNS

☐ Abilita il blocco dei domini

☐ Implementare il protocollo DNSSEC

☐ Informare le parti interessate

Recupero a lungo termine (1-30 giorni)

☐ Monitoraggio potenziato

☐ Valutazione della sicurezza

☐ Procedure di aggiornamento

☐ Formazione del personale

☐ Rendicontazione in materia di conformità

Proteggi il tuo dominio dal dirottamento DNS con PowerDMARC

Il dirottamento DNS può reindirizzare il tuo traffico in modo invisibile, intercettare le tue e-mail e compromettere la sicurezza dei tuoi clienti senza alcun segnale visibile. Per individuare e prevenire questi attacchi è necessaria una vigilanza costante sulla configurazione DNS del tuo dominio e sulle impostazioni di autenticazione delle e-mail.

PowerDMARC ti offre questa visibilità. Fornisce informazioni predittive sulle minacce relative alle anomalie DNS, una novità assoluta nel settore, e gode della fiducia delle aziende Fortune 500 e delle agenzie governative di tutto il mondo. La nostra piattaforma è certificata SOC2 e ISO 27001, e oltre 10.000 organizzazioni si affidano al nostro monitoraggio e alle nostre misure di controllo in tempo reale per proteggere i propri domini.

Non aspettare che un attacco di dirottamento DNS metta in luce una falla nelle tue difese. Contattaci oggi stesso!

Domande frequenti

1. Qual è la differenza tra spoofing DNS e dirottamento DNS?

Il dirottamento DNS consiste nel prendere il controllo dei record o dell'infrastruttura DNS per reindirizzare il traffico, mentre lo spoofing DNS si riferisce in genere alla fornitura di risposte DNS false alle query. Il dirottamento è più persistente e richiede l'accesso amministrativo, mentre lo spoofing può essere temporaneo e sfruttare le vulnerabilità nei processi di risoluzione DNS.

2. Come posso verificare se c'è stato un dirottamento DNS?

È possibile verificare la presenza di dirottamenti DNS utilizzando strumenti di ricerca DNS online e confrontando le risposte DNS fornite da diversi resolver. È inoltre possibile monitorare i record WHOIS del proprio dominio per individuare eventuali modifiche non autorizzate e utilizzare gli strumenti di monitoraggio DNS di PowerDMARC per rilevare anomalie in tempo reale.

3. In cosa consiste il trucco del DNS?

Il termine «trucco DNS» si riferisce spesso a varie tecniche utilizzate per manipolare le risposte DNS, tra cui l’avvelenamento della cache, la falsificazione delle risposte o lo sfruttamento delle vulnerabilità dei resolver DNS. Questi trucchi vengono comunemente utilizzati negli attacchi di dirottamento DNS per reindirizzare gli utenti verso siti web dannosi a loro insaputa.

4. Quanto tempo occorre affinché le modifiche al DNS si propaghino dopo un episodio di dirottamento?

La propagazione DNS richiede in genere 24-48 ore a livello globale, ma può variare in base ai valori TTL e alle politiche di cache del resolver. Durante il ripristino da un incidente di dirottamento, potrebbe essere necessario contattare i principali provider DNS per svuotare le loro cache e velocizzare il ripristino.

5. Il protocollo DNSSEC è in grado di impedire tutti i tipi di dirottamento DNS?

Il protocollo DNSSEC contribuisce a prevenire lo spoofing del DNS e il cache poisoning, ma non è in grado di proteggere da tutti i metodi di dirottamento, come ad esempio la compromissione degli account dei registrar o gli attacchi a livello di router. Si tratta di un importante livello di sicurezza, ma dovrebbe essere integrato con altre misure di protezione, quali il blocco dei domini e pratiche di sicurezza adottate dai registrar.

6. Cosa devo fare se il mio account presso il registrar di domini viene violato?

Contatta immediatamente il servizio di assistenza di emergenza del tuo registrar, richiedi il blocco dell'account, modifica tutte le credenziali di accesso, attiva l'autenticazione a due fattori, verifica tutte le modifiche recenti e, se necessario, valuta la possibilità di passare a un registrar più sicuro. Documenta tutte le azioni intraprese in vista di eventuali azioni legali o richieste di risarcimento.

Informazioni su
Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

Che cos'è il DNS Hijacking: Rilevamento, prevenzione e mitigazione