Che cos'è il DNS Hijacking: Rilevamento, prevenzione e mitigazione
di
Tempo di lettura: 6 min
Il DNS hijacking è un cyberattacco in cui gli aggressori manipolano le query del Domain Name System (DNS) per reindirizzare gli utenti a siti web dannosi. Questa tattica consente attacchi di phishing, furto di identità e distribuzione di malware. Capire come funziona il DNS hijacking e implementare misure di sicurezza può aiutare individui e organizzazioni a prevenire tali attacchi.
I punti chiave da prendere in considerazione
- Il DNS hijacking manipola le query DNS per reindirizzare gli utenti verso siti web dannosi, causando furti di dati e violazioni della sicurezza.
- I metodi di attacco più comuni includono l'implementazione di malware, il dirottamento dei router e gli attacchi man-in-the-middle, tutti progettati per intercettare e alterare le risposte DNS.
- Lo spoofing e l'hijacking DNS non sono la stessa cosa, mentre l'hijacking ha un impatto più persistente e a lungo termine.
- Le tecniche di rilevamento comprendono il monitoraggio dei siti web a caricamento lento, la verifica delle impostazioni DNS del router e l'utilizzo di un controllore DNS online e di strumenti a riga di comando.
- Le misure preventive comprendono la protezione dei router, l'utilizzo di blocchi del registro di sistema, l'implementazione di strumenti anti-malware e il rafforzamento delle password.
Come funziona il DNS Hijacking?
Il DNS traduce i nomi di dominio in indirizzi IP, consentendo agli utenti di accedere ai siti web. In un attacco di DNS hijacking, gli hacker compromettono le impostazioni DNS modificando i record, infettando i dispositivi o intercettando le comunicazioni. Questa manipolazione reindirizza gli utenti verso siti fraudolenti, dove potrebbero condividere inconsapevolmente informazioni sensibili.
Supponiamo che il vostro nome di dominio sia HelloWorld.com. Dopo un attacco di DNS hijacking, quando qualcuno digita HelloWorld.com in un determinato browser (ad esempio Chrome), non viene più indirizzato al vostro sito web. Invece di essere indirizzati al vostro sito legittimo, saranno indirizzati a un sito web potenzialmente dannoso che è sotto il controllo dell'aggressore. Chi visita questo sito potrebbe pensare che si tratti del vostro sito il vostro dominio legittimo (dato che il nome indica proprio questo) e potrebbero iniziare a inserire i loro dati sensibili. Il risultato? Potenziale furto dei dati dell'utente e perdita di reputazione per il vostro dominio.
Tipi di attacchi di DNS Hijacking
Esistono quattro tipi principali di attacchi di dirottamento DNS: dirottamento DNS locale, dirottamento DNS tramite router, attacco di dirottamento MITM (Man-in-the-middle) e server DNS non autorizzato.
1. Dirottamento DNS locale
In un attacco di dirottamento del DNS locale, l'hacker installa un software Trojan sul PC della vittima. Quindi, l'aggressore apporta modifiche alle impostazioni del DNS locale. Lo scopo di queste modifiche è di reindirizzare la vittima verso siti web dannosi e pericolosi.
2. Attacchi Man-in-the-middle
Durante un Man-in-the-middle (MITM) gli hacker possono utilizzare tecniche di attacco man-in-the-middle. L'obiettivo è intercettare e manipolare le comunicazioni tra un server DNS e i suoi utenti. L'ultimo passo è indirizzare l'utente verso siti web fraudolenti e potenzialmente pericolosi.
3. Hijacking DNS del router
Quando un aggressore utilizza il metodo del DNS hijacking su router, sfrutta il fatto che il firmware di alcuni router è debole. Inoltre, alcuni router scelgono di non modificare le password predefinite che sono state fornite inizialmente. A causa di queste lacune nella sicurezza, il router può facilmente cadere vittima di un attacco in cui gli hacker modificano le impostazioni DNS.
4. Server DNS anomalo
Un altro tipo di attacco DNS hijacking comune è il server DNS rogue. Utilizzando questo metodo, gli hacker riescono a modificare i record DNS di un server DNS. Ciò consente agli hacker di reindirizzare le richieste DNS verso siti web falsi e potenzialmente pericolosi.
Esempi di dirottamento DNS
Impennata delle minacce di DNS Hijacking
Un recente articolo di Cloudflare ha evidenziato l'improvviso aumento degli attacchi di DNS hijacking che hanno preso di mira le principali società di cybersecurity come Tripwire, FireEye e Mandiant. Gli attacchi hanno preso di mira diversi settori e industrie, tra cui governo, telecomunicazioni ed enti Internet, e si sono diffusi in Medio Oriente, Europa, Nord Africa e Nord America.
Dirottamento DNS delle tartarughe marine
Nel 2019, Cisco Talos ha scoperto un attacco di cyberspionaggio su larga scala che utilizzava tattiche di dirottamento DNS per colpire agenzie governative. L'attacco ha colpito oltre 40 organizzazioni, tra cui telecomunicazioni, fornitori di servizi Internet e società di registrazione di domini, nonché agenzie governative come ministeri degli affari esteri, agenzie di intelligence, esercito e settore energetico, con sede in Medio Oriente e Nord Africa.
Dirottamento DNS di Sitting Duck
Un nuovo attacco DNS noto come "Anatre sedute"è stata scoperta nel 2024. Essa prendeva di mira diversi domini registrati sfruttando le vulnerabilità del sistema dei nomi di dominio e successivamente dirottandoli. Gli attacchi sono stati condotti attraverso una società di registrazione o un provider DNS senza accedere all'account della vittima. Questo attacco su larga scala ha messo in pericolo più di un milione di domini registrati, mettendoli a rischio di acquisizione.
Qual è la differenza tra DNS Hijacking e DNS Poisoning?
Il DNS hijacking manipola i record DNS per reindirizzare gli utenti, mentre il DNS poisoning (o avvelenamento della cache) comporta l'iniezione di dati dannosi in una cache DNS per ingannare temporaneamente gli utenti. L'hijacking tende a essere persistente, mentre l'avvelenamento si basa sullo sfruttamento dei meccanismi di caching.
| Dirottamento DNS | Avvelenamento DNS | |
|---|---|---|
| Metodo di attacco | compromette direttamente un server DNS, un router o le impostazioni di un dispositivo. | Inserisce risposte DNS false nella cache di un resolver. |
| Impatto | Può avere impatti a lungo termine. Questo tipo di attacchi reindirizza gli utenti verso siti web dannosi, portando al phishing e al furto di dati. | Gli effetti sono solitamente temporanei. |
| Obiettivo | Server DNS, router o dispositivi dell'utente finale. | Risolutori e cache DNS. |
| Prevenzione | Proteggere i router, utilizzare il protocollo DNSSEC e monitorare le impostazioni DNS. | Utilizzare il protocollo DNSSEC, cancellare la cache DNS e utilizzare risolutori affidabili. |
Come rilevare gli attacchi di DNS Hijacking?
Segni di dirottamento DNS
- Reindirizzamenti inattesi di siti web: Se l'URL del sito web non corrisponde al sito web a cui si viene reindirizzati, potrebbe essere un segno rivelatore di un dirottamento DNS.
- Pagine di login di phishing: Le landing page sospette che sembrano mal fatte e che chiedono informazioni sensibili come le credenziali di accesso sono un segno di un intento malevolo.
- Pagine web a caricamento lento: Le pagine web mal progettate o che si caricano lentamente possono essere dannose o false.
- Pubblicità pop-up inattesa: Imbattersi in annunci pop-up inaspettati mentre si naviga su un sito web apparentemente affidabile può essere un segno di dirottamento DNS.
- Avvisi sulle infezioni da malware: Gli avvisi improvvisi di infezione da malware o virus possono essere un segno di un'azione fraudolenta di propaganda della paura.
Strumenti per controllare le impostazioni DNS e verificare la presenza di dirottamenti DNS
Controllo gratuito dei record DNS di PowerDMARC
Questo strumento gratuito controlla i record DNS di autenticazione delle e-mail come SPF, DKIM, DMARCMTA-STS, TLS-RPT e BIMI, oltre a varie altre voci DNS. È particolarmente indicato per la gestione dei record DNS e per il monitoraggio e l'automazione delle configurazioni di autenticazione delle e-mail.
Google Admin Toolbox Dig
Google Admin Toolbox Dig esegue query DNS per i record A, MX, CNAME, TXT e altri.
Funziona in modo simile allo strumento dig da riga di comando, ma in un browser e recupera i risultati direttamente dai server DNS di Google.
Strumenti DNS a riga di comando
Diversi strumenti DNS a riga di comando, come NSlookup, Dig, Host e Whois, richiedono un terminale ma offrono informazioni dettagliate sulle impostazioni DNS. Questi strumenti possono essere utilizzati per varie attività come:
- Interrogazione dei server DNS per scoprire i diversi tipi di record
- Tracciamento della risoluzione DNS su più server di posta
- Risoluzione dei nomi di dominio in indirizzi IP
- Recupero dei dati di registrazione del dominio
Come prevenire il dirottamento DNS
Mitigazione per i server dei nomi e i resolver
- Disattivare i resolver DNS non necessari sulla rete.
- Limitare l'accesso ai server dei nomi con l'autenticazione a più fattori e i firewall.
- Utilizzare porte di origine e ID di query randomizzati per evitare l'avvelenamento della cache.
- Aggiornare regolarmente e applicare le patch alle vulnerabilità note.
- Separare i server dei nomi autorevoli dai resolver.
- Limitare i trasferimenti di zone per evitare modifiche non autorizzate.
Mitigazione per gli utenti finali
- Modificare le password predefinite del router per evitare accessi non autorizzati.
- Installate un software antivirus e antimalware per rilevare le minacce.
- Utilizzare connessioni VPN crittografate durante la navigazione.
- Passare a servizi DNS alternativi come Google Public DNS (8.8.8.8) o Cisco OpenDNS.
Mitigazione per i proprietari del sito
- Protezione degli account di registrazione DNS con l'autenticazione a due fattori.
- Utilizzate le funzioni di blocco del dominio per evitare modifiche DNS non autorizzate.
- Abilitare il DNSSEC (Domain Name System Security Extensions) per autenticare le risposte DNS.
- Utilizzate PowerDMARC per applicare DMARC, SPF e DKIM, impedendo lo spoofing dei domini e i tentativi di phishing.
Come evitare il DNS Hijacking quando si utilizza il Wi-Fi pubblico?
- Evitate di collegarvi a reti Wi-Fi non protette.
- Utilizzate una VPN per criptare il vostro traffico Internet.
- Disabilita la connessione automatica alle reti sconosciute.
- Verificare le impostazioni DNS prima di accedere a informazioni sensibili.
Come risolvere il dirottamento DNS
1. Identificare i segni di un dirottamento DNS
È importante stabilire innanzitutto se si è vittima di un dirottamento DNS. Per questa fase è possibile esaminare i segnali di identificazione del dirottamento DNS discussi nella sezione precedente. Una volta confermato, si può passare alle fasi successive.
2. Reimpostare le impostazioni DNS del router
Il passo successivo è accedere al router e controllare le impostazioni DNS, di solito sotto "WAN" o "Impostazioni Internet". Se il DNS è impostato su un provider con un IP sconosciuto, è necessario passare immediatamente a un provider sicuro come Cloudflare o Google DNS per evitare il dirottamento. Una volta modificate le impostazioni, è necessario salvare le nuove impostazioni DNS e riavviare il router.
3. Configurare il protocollo DNSSEC
Il protocollo DNSSEC può essere una difesa utile contro alcuni tipi di attacchi di dirottamento DNS, anche se non tutti. Il protocollo aiuta ad autenticare le risposte DNS e a prevenire lo spoofing DNS. Tuttavia, è importante notare che il DNSSEC non è in grado di mitigare il Direct DNS Server Hijacking e richiede un'implementazione adeguata. Dopo aver configurato il protocollo, assicuratevi di controllare il vostro record utilizzando il DNSSEC per garantire la corretta implementazione.
4. Rimuovere il software e i file dannosi
Per proteggere il vostro DNS dalle frodi, assicuratevi di utilizzare un anti-malware che vi aiuti a rilevare e rimuovere il malware. È anche una buona mossa controllare le estensioni del browser e qualsiasi nuova installazione. Se trovate qualcosa di sospetto che potrebbe modificare le vostre impostazioni DNS, potete rimuoverlo immediatamente.
5. Cancellare la cache DNS
La cancellazione della cache DNS è importante per prevenire l'hijacking DNS, perché rimuove tutte le voci DNS corrotte o dannose memorizzate sul dispositivo.
6. Abilitare le funzioni di sicurezza
Assicuratevi di attivare le funzioni di sicurezza del router cambiando la password. Attivate un firewall per una maggiore sicurezza e disabilitate la gestione remota per evitare che gli hacker accedano da remoto al router. Potete anche utilizzare servizi DNS sicuri come DoH o DoT, se supportati.
7. Monitoraggio e prevenzione di attacchi futuri
È possibile rivedere e monitorare regolarmente le impostazioni DNS del router per prevenire e rilevare eventuali attacchi futuri. L'analisi predittiva di PowerDMARC analisi predittiva delle minacce di PowerDMARC è un eccellente strumento di monitoraggio che prevede i modelli e le tendenze di attacco per attivare gli avvisi per gli attacchi informatici esistenti e futuri.
Riassunto
Il DNS hijacking è una grave minaccia per la sicurezza informatica che può portare al furto di dati, al phishing e alle infezioni da malware. Monitorando le impostazioni DNS, utilizzando servizi DNS sicuri e implementando misure di sicurezza, è possibile ridurre il rischio di cadere vittima di questi attacchi.
Garantite la sicurezza del vostro dominio con il monitoraggio e l'applicazione in tempo reale di DMARC, SPF e DKIM di PowerDMARC per rilevare e prevenire le anomalie DNS. Controllate la sicurezza del vostro DNS oggi stesso!
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
