Che cos'è lo spoofing DNS? Lo spoofing DNS è una tattica di attacco comunemente utilizzata per frodare le aziende. Il DNS non è mai stato sicuro di per sé. Poiché è stato progettato negli anni '80, la sicurezza non era un problema primario quando Internet era ancora una curiosità. Questo ha incoraggiato i malintenzionati a sfruttare il problema nel corso del tempo e a sviluppare attacchi sofisticati basati sul DNS, come il DNS spoofing.
Definizione di spoofing DNS
Lo spoofing DNS è una tecnica utilizzata per dirottare la richiesta di un sito web da parte di un browser web e indirizzare l'utente verso un sito diverso. Ciò può avvenire sia modificando l'indirizzo IP dei server DNS sia modificando l'indirizzo IP del server del nome di dominio stesso.
Lo spoofing DNS è spesso utilizzato negli schemi di phishing, in cui gli utenti vengono indotti a visitare siti web falsi che sembrano autentici. Questi siti web falsi possono richiedere informazioni personali come numeri di carte di credito o numeri di previdenza sociale, che i criminali possono utilizzare per il furto di identità.
Che cos'è un attacco di spoofing DNS?
Un attacco di spoofing DNS avviene quando l'aggressore impersona un server DNS e invia risposte alle query DNS diverse da quelle inviate dal server legittimo.
L'aggressore può inviare qualsiasi risposta desideri alla domanda della vittima, compresi indirizzi IP falsi per gli host o altri tipi di informazioni false. Questo potrebbe essere utilizzato per indirizzare un utente verso un sito web progettato per assomigliare a un altro sito web o per fornire informazioni false sui servizi della rete.
In poche parole, un aggressore può indurre un utente a visitare un sito Web dannoso senza che se ne accorga. Lo spoofing DNS si riferisce a qualsiasi tentativo di alterare i record DNS restituiti a un utente e di reindirizzarlo verso un sito Web dannoso.
Può essere utilizzato per una serie di scopi malevoli, tra cui:
- Distribuzione di malware, ransomware e truffe di phishing
- Raccolta di informazioni sugli utenti
- Facilitare altri tipi di crimini informatici.
Come funziona lo spoofing DNS?
Il server DNS converte i nomi di dominio in indirizzi IP in modo che le persone possano collegarsi ai siti web. Se un hacker vuole inviare gli utenti a siti dannosi, deve innanzitutto modificare le impostazioni DNS. Ciò può avvenire sfruttando i punti deboli del sistema o attraverso attacchi di forza bruta, in cui gli hacker provano migliaia di combinazioni diverse finché non ne trovano una che funziona.
Fase 1 - Ricognizione
Il primo passo per un attacco di successo è la ricognizione, ovvero scoprire il maggior numero di informazioni sull'obiettivo. Un hacker studierà il modello aziendale, la struttura della rete dei dipendenti e le politiche di sicurezza per sapere che tipo di informazioni chiedere e come ottenerle.
Fase 2 - Accesso
Una volta raccolte informazioni sufficienti sull'obiettivo, tentano di accedere al sistema sfruttando le vulnerabilità o utilizzando metodi di forza bruta. Una volta ottenuto l'accesso, può installare un malware sul sistema per consentire il monitoraggio del traffico e l'estrazione di dati sensibili. L'aggressore può inviare pacchetti che si spacciano per computer legittimi, facendo credere che provengano da un altro luogo.
Fase 3 - Attacco
Quando il server dei nomi riceve questi pacchetti, li memorizza nella sua cache e li utilizza la prossima volta che qualcuno lo interroga per ottenere queste informazioni. Quando gli utenti autorizzati cercano di accedere a un sito web autorizzato, vengono invece reindirizzati a un sito non autorizzato.
Metodi di spoofing DNS
Esistono diversi modi in cui un aggressore può farlo, ma tutti si basano sull'inganno del computer dell'utente nell'utilizzo di un server DNS alternativo. In questo modo l'aggressore può dirottare le richieste e inviarle a qualsiasi sito web desideri.
1. Attacchi Man-in-the-Middle
L'attacco di spoofing DNS più comune è chiamato attacco man-in-the-middle (MITM). In questo tipo di attacco, l'aggressore intercetta una comunicazione e-mail tra due server SMTP per leggere tutto il traffico Internet. L'aggressore intercetta quindi la richiesta di risoluzione di un nome di dominio e la invia attraverso la propria rete anziché quella reale. Può rispondere con qualsiasi indirizzo IP, anche quello di un sito di phishing.
2. Avvelenamento della cache DNS
L'attaccante utilizza una botnet o un dispositivo compromesso sulla propria rete per inviare risposte false alle query DNS, avvelenando la cache locale con informazioni errate. Questo può essere utilizzato per dirottare i sistemi di nomi di dominio (DNS) e per attacchi man-in-the-middle.
3. Dirottamento DNS
L'aggressore modifica il proprio indirizzo IP per far credere di essere il server del nome autorevole per un nome di dominio. Può quindi inviare risposte DNS contraffatte a un client che richiede informazioni su questo dominio, indirizzandolo verso un IP controllato dall'aggressore invece di utilizzare correttamente i server DNS pubblici. Questo attacco è più comune nei confronti dei clienti che non hanno implementato misure di sicurezza sui loro router o firewall.
Come prevenire lo spoofing DNS?
Implementare i meccanismi di rilevamento dello spoofing DNS
Il protocollo DNSSEC è una delle soluzioni proposte per questo problema. Il DNSSEC è un'estensione per il DNS che fornisce l'autenticazione e l'integrità dei record e fornisce dati non autorevoli dai server DNS. Garantisce che le risposte non vengano manomesse durante la trasmissione. Garantisce inoltre la riservatezza del traffico di dati tra client e server, in modo che solo chi dispone di credenziali valide possa decifrarli.
Eseguire un filtraggio accurato del traffico DNS
Il filtraggio del traffico DNS è il processo di ispezione di tutto il traffico in entrata e in uscita dalla rete. Ciò consente di bloccare qualsiasi attività sospetta sulla rete. È possibile farlo utilizzando un firewall o un altro software di sicurezza che offra questa funzionalità.
Applicate regolarmente le patch ai server DNS
Applicare regolarmente gli aggiornamenti di sicurezza ai sistemi operativi, alle applicazioni e ai database.
Utilizzare una rete privata virtuale (VPN)
Se non avete accesso a una connessione HTTPS, utilizzate una VPN affidabile. Una VPN crea un tunnel crittografato tra il vostro computer e il sito web o il servizio a cui state accedendo. Poiché crittografano il traffico in entrambe le direzioni, impediscono agli ISP di vedere quali siti web state visitando e quali dati state inviando o ricevendo.
Utilizzare i firewall
Installate un firewall su ogni sistema che si connette a Internet. Un firewall blocca tutte le connessioni in entrata che non sono state esplicitamente autorizzate dall'amministratore di rete.
Utilizzare i protocolli di autenticazione delle e-mail
È possibile utilizzare MTA-STS per mitigare lo spoofing DNS. Le voci salvate nel file dei criteri MTA-STS, scaricato tramite HTTPS, vengono confrontate con i record MX dell'MTA interrogati tramite DNS. Gli MTA memorizzano nella cache anche i file di criteri MTA-STS, rendendo più difficile l'esecuzione di un attacco di spoofing DNS.
È possibile monitorare e risolvere i problemi di deliverability abilitando TLS-RPT, che consente ai ricevitori di inviare rapporti TLS via SMTP al vostro indirizzo e-mail. Questo vi aiuterà a rimanere aggiornati sui problemi di una connessione non criptata.
Abilita la registrazione e il monitoraggio delle query DNS
Abilitare la registrazione e il monitoraggio delle query DNS, in modo da poter monitorare eventuali modifiche non autorizzate apportate ai server DNS.
Parole finali
Lo spoofing DNS può essere estremamente fastidioso sia per i visitatori che per i proprietari dei siti web. La motivazione principale che spinge un aggressore a condurre un attacco di spoofing DNS è il guadagno personale o la trasmissione di malware. Di conseguenza, per il proprietario di un sito web è fondamentale scegliere un servizio di hosting DNS affidabile e che adotti le attuali misure di sicurezza.
Inoltre, in qualità di visitatori di un sito web, dovreste "essere consapevoli di ciò che vi circonda", perché se notate delle discrepanze tra il sito web che vi aspettavate di visitare e quello che state navigando, dovreste abbandonare immediatamente il sito e cercare di avvisare il legittimo proprietario del sito.
