O sequestro de DNS é um ataque informático em que os atacantes manipulam as consultas do Sistema de Nomes de Domínio (DNS) para redirecionar os utilizadores para sítios Web maliciosos. Esta tática permite ataques de phishing, roubo de identidade e distribuição de malware. Compreender como funciona o sequestro de DNS e implementar medidas de segurança pode ajudar os indivíduos e as organizações a evitar este tipo de ataques.

Takeaways de chaves

O sequestro de DNS manipula as consultas de DNS para redirecionar os utilizadores para sítios Web maliciosos, conduzindo ao roubo de dados e a violações de segurança.
Os métodos de ataque mais comuns incluem a implementação de malware, o sequestro de routers e os ataques man-in-the-middle, todos concebidos para intercetar e alterar as respostas DNS.
O DNS spoofing e o DNS hijacking não são a mesma coisa, sendo que o hijacking tem impactos mais persistentes e a longo prazo.
As técnicas de deteção incluem a monitorização de sítios Web de carregamento lento, a verificação das definições de DNS do router e a utilização de um verificador de DNS online e de ferramentas de linha de comandos.
As medidas preventivas incluem a segurança dos routers, a utilização de bloqueios de registo, a implementação de ferramentas anti-malware e o reforço das palavras-passe.

Como é que o sequestro de DNS funciona?

O DNS traduz os nomes de domínio em endereços IP, permitindo aos utilizadores aceder a sítios Web. Num ataque de sequestro de DNS, os piratas informáticos comprometem as definições de DNS modificando registos, infectando dispositivos ou interceptando comunicações. Esta manipulação redirecciona os utilizadores para sites fraudulentos, onde podem, sem saber, partilhar informações sensíveis.

Digamos que o seu nome de domínio é HelloWorld.com. Após um ataque de sequestro de DNS, quando alguém escreve HelloWorld.com num determinado navegador (por exemplo, Chrome), já não será direcionado para o seu site. Em vez de serem direcionados para o seu site legítimo, serão agora encaminhados para um site potencialmente malicioso que está sob o controlo do atacante. Aqueles que visitam este sítio podem assumir que se trata do o seu domínio legítimo (uma vez que é isso que o nome indica) e podem começar a introduzir as suas informações sensíveis. O resultado? Potencial roubo dos dados do utilizador e perda de reputação do seu domínio.

Tipos de ataques de sequestro de DNS

Existem quatro tipos principais de ataques de sequestro de DNS: sequestro de DNS local, sequestro de DNS através de um router, ataque de sequestro MITM (Man-in-the-middle) e servidor DNS desonesto.

1. Sequestro de DNS local

Num ataque de sequestro de DNS local, o hacker instala um software Trojan no PC da vítima. Depois, o atacante faz alterações nas definições do DNS local. O objetivo destas modificações é redirecionar a vítima alvo para sites maliciosos e perigosos.

2. Ataques Man-in-the-middle

Durante um ataque man-in-the-middle (MITM) os hackers podem utilizar técnicas de ataque man-in-the-middle. O objetivo é intercetar e manipular as comunicações entre um servidor DNS e os seus utilizadores. O último passo é encaminhar o utilizador para sítios Web fraudulentos e potencialmente perigosos.

3. Router DNS Hijacking

Quando um atacante utiliza o método de sequestro de DNS através de um router, tira partido do facto de o firmware de alguns routers ser fraco. Além disso, alguns routers optam por não alterar as palavras-passe predefinidas que lhes foram fornecidas inicialmente. Devido a estas falhas de segurança, o router pode facilmente ser vítima de um ataque em que os hackers modificam as suas definições de DNS.

4. Servidor DNS desonesto

Outro tipo comum de ataque de sequestro de DNS é o servidor DNS desonesto. Ao utilizar este método, os hackers conseguem alterar os registos DNS num servidor DNS. Isto permite que os hackers reencaminhem os pedidos de DNS para sítios Web falsos e potencialmente perigosos.

Exemplos de sequestro de DNS

Aumento das ameaças de sequestro de DNS

Um recente artigo da Cloudflare destacou o aumento súbito de ataques de sequestro de DNS dirigidos a grandes empresas de cibersegurança, como a Tripwire, a FireEye e a Mandiant. Os ataques visaram diversas indústrias e sectores, incluindo entidades governamentais, de telecomunicações e da Internet, e espalharam-se pelo Médio Oriente, Europa, Norte de África e América do Norte.

Sequestro de DNS de tartarugas marinhas

Em 2019, Cisco Talos descobriu um ataque de ciberespionagem em grande escala utilizando tácticas de sequestro de DNS para atingir agências governamentais. O ataque atingiu mais de 40 organizações, incluindo telecomunicações, fornecedores de serviços de Internet e registadores de domínios, bem como agências governamentais como ministérios dos negócios estrangeiros, agências de informações, militares e o sector da energia, com base no Médio Oriente e no Norte de África.

Sequestro de DNS por Sitting Duck

Um novo ataque ataque DNS conhecida como "Sitting Ducks" foi descoberta em 2024. Visava vários domínios registados, explorando vulnerabilidades no sistema de nomes de domínio e, subsequentemente, sequestrando-os. Os ataques eram efectuados através de um fornecedor de serviços de registo ou de DNS sem aceder à conta da própria vítima. Este ataque em grande escala pôs em causa mais de um milhão de domínios registados, colocando-os em risco de aquisição.

Qual é a diferença entre o sequestro de DNS e o envenenamento de DNS?

O sequestro de DNS manipula registos DNS para redirecionar os utilizadores, enquanto o envenenamento de DNS (ou envenenamento de cache) envolve a injeção de dados maliciosos numa cache DNS para enganar temporariamente os utilizadores. O sequestro tende a ser persistente, enquanto o envenenamento se baseia na exploração de mecanismos de cache.

	Sequestro de DNS	Envenenamento DNS
Método de ataque	Compromete diretamente um servidor DNS, um router ou as definições de um dispositivo.	Insere respostas DNS falsas na cache de um resolvedor.
Impacto	Pode ter impactos a longo prazo. Este tipo de ataques redirecciona os utilizadores para sítios Web maliciosos, conduzindo a phishing e roubo de dados.	Os efeitos são geralmente temporários.
Objetivo	Servidores DNS, routers ou dispositivos do utilizador final.	Resolvedores e caches de DNS.
Prevenção	Proteger os routers, utilizar DNSSEC e monitorizar as definições de DNS.	Utilizar DNSSEC, limpar a cache DNS e utilizar resolvedores fiáveis.

Como detetar ataques de sequestro de DNS?

Sinais de sequestro de DNS

Redireccionamentos inesperados de sítios Web: Se o URL do site não corresponder ao site para o qual está a ser redireccionado, pode ser um sinal revelador de sequestro de DNS.
Páginas de início de sessão de phishing: Páginas de destino suspeitas que parecem mal feitas e pedem informações sensíveis, como credenciais de início de sessão, são um sinal de intenção maliciosa.
Páginas Web de carregamento lento: As páginas Web mal concebidas ou de carregamento lento podem ser maliciosas ou falsas.
Anúncios pop-up inesperados: Deparar-se com anúncios pop-up inesperados enquanto navega num site aparentemente fiável pode ser um sinal de sequestro de DNS.
Alertas sobre infecções por malware: Os alertas repentinos sobre infecções por malware ou vírus podem ser um sinal de medo fraudulento.

Ferramentas para verificar as definições de DNS e testar a existência de sequestro de DNS

Verificador gratuito de registos DNS do PowerDMARC

Esta ferramenta gratuita verifica os registos DNS de autenticação de correio eletrónico, tais como SPF, DKIM, DMARCMTA-STS, TLS-RPT e BIMI, juntamente com várias outras entradas de DNS. É mais adequada para a gestão de registos DNS e para a monitorização e automatização de configurações de autenticação de correio eletrónico.

Caixa de ferramentas de administração do Google Dig

O Google Admin Toolbox Dig executa consultas DNS para A, MX, CNAME, TXT e outros registos.

Funciona de forma semelhante à ferramenta dig da linha de comandos, mas num navegador e obtém resultados diretamente dos servidores DNS do Google.

Ferramentas DNS de linha de comando

Várias ferramentas de DNS de linha de comando, como NSlookup, Dig, Host e Whois, requerem um terminal, mas oferecem informações detalhadas sobre as configurações de DNS. Essas ferramentas podem ser usadas para várias tarefas, como:

Consulta de servidores DNS para descobrir diferentes tipos de registos
Rastreamento da resolução de DNS em vários servidores de correio
Resolução de nomes de domínio para endereços IP
Recuperar detalhes de registo de domínios

Como evitar o sequestro de DNS

Mitigação para servidores de nomes e resolvedores

Desativar resolvedores de DNS desnecessários na sua rede.
Restringir o acesso aos servidores de nomes com autenticação multi-fator e firewalls.
Use portas de origem e IDs de consulta aleatórios para evitar o envenenamento do cache.
Atualizar e corrigir regularmente as vulnerabilidades conhecidas.
Separar os servidores de nomes autoritativos dos resolvedores.
Restringir as transferências de zona para evitar modificações não autorizadas.

Mitigação para os utilizadores finais

Altere as palavras-passe predefinidas do router para evitar o acesso não autorizado.
Instalar software antivírus e anti-malware para detetar ameaças.
Utilizar ligações VPN encriptadas para navegar.
Mude para serviços DNS alternativos, como o Google Public DNS (8.8.8.8) ou o Cisco OpenDNS.

Mitigação para os proprietários de sítios

Contas de registo DNS seguras com autenticação de dois factores.
Utilize as funcionalidades de bloqueio de domínio para evitar alterações não autorizadas de DNS.
Active o DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) para autenticar as respostas DNS.
Use o PowerDMARC para impor DMARC, SPF e DKIM, evitando falsificação de domínio e tentativas de phishing.

Como evitar o sequestro de DNS durante a utilização de uma rede Wi-Fi pública?

Evite ligar-se a redes Wi-Fi não seguras.
Utilize uma VPN para encriptar o seu tráfego na Internet.
Desativar a ligação automática a redes desconhecidas.
Verifique as definições de DNS antes de aceder a informações sensíveis.

Como corrigir o sequestro de DNS

1. Identificar os sinais de seqüestro de DNS

Em primeiro lugar, é importante determinar se é vítima de sequestro de DNS. Para este passo, pode analisar os sinais de identificação de sequestro de DNS discutidos na secção anterior. Uma vez confirmado, pode avançar para os passos seguintes.

2. Repor as definições de DNS do seu router

O próximo passo é iniciar sessão no router e verificar as definições de DNS, normalmente em "WAN" ou "Definições de Internet". Se o seu DNS estiver definido para um fornecedor com um IP desconhecido, tem de mudar imediatamente para um seguro, como o Cloudflare ou o Google DNS, para evitar o sequestro. Depois de alterar as definições, tem de guardar as novas definições de DNS e reiniciar o router.

3. Configurar o DNSSEC

O DNSSEC pode ser uma defesa útil contra alguns tipos de ataques de sequestro de DNS, embora não todos. O protocolo ajuda a autenticar as respostas do DNS e impede a falsificação do DNS. No entanto, é importante notar que o DNSSEC não pode mitigar o sequestro direto de servidores DNS e requer uma implementação adequada. Depois de configurar o protocolo, certifique-se de que verifica o seu registo utilizando o verificador de DNSSEC do PowerDMARC para garantir a implementação correta.

4. Remover software e ficheiros maliciosos

Para proteger o seu DNS contra fraudes, certifique-se de que utiliza um anti-malware que ajudará a detetar e a remover o malware. É também uma boa ideia rever as extensões do seu browser e quaisquer novas instalações. Se encontrar algo suspeito que possa estar a fazer alterações às suas definições de DNS, pode removê-lo imediatamente.

5. Limpar a cache do DNS

Limpar a cache de DNS é importante para evitar o sequestro de DNS porque remove quaisquer entradas de DNS corrompidas ou maliciosas armazenadas no seu dispositivo.

6. Ativar funcionalidades de segurança

Certifique-se de que ativa as funcionalidades de segurança do seu router, alterando a sua palavra-passe. Active uma firewall para maior segurança e desactive a gestão remota para evitar que os piratas informáticos acedam remotamente ao seu router. Também pode utilizar serviços DNS seguros, como DoH ou DoT, se suportados.

7. Monitorizar e prevenir futuros ataques

Pode rever e monitorizar regularmente as definições de DNS do seu router para prevenir e detetar quaisquer ataques futuros. A análise análise preditiva de inteligência contra ameaças do PowerDMARC é uma excelente ferramenta de monitorização que prevê padrões e tendências de ataque para acionar alertas para ataques informáticos existentes e futuros.

Resumo

O sequestro de DNS é uma séria ameaça à cibersegurança que pode levar ao roubo de dados, phishing e infecções por malware. Monitorizando as suas definições de DNS, utilizando serviços de DNS seguros e implementando medidas de segurança, pode reduzir o risco de ser vítima destes ataques.

Garanta a segurança do seu domínio com a monitorização em tempo real do PowerDMARC e a aplicação de DMARC, SPF e DKIM para detetar e evitar anomalias no DNS. Verifique sua segurança de DNS hoje mesmo!

Sobre
Últimos Posts

Ahona Rudra

Especialista em segurança de domínios e e-mails da PowerDMARC

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

O que é QR Phishing? Como detetar e prevenir fraudes com códigos QR - 15 de abril de 2025
Como verificar registros SPF usando nslookup, dig ou PowerShell? - 3 de abril de 2025
O Outlook aplica o DMARC: Explicação dos novos requisitos de remetente da Microsoft! - 3 de abril, 2025

O que é o Sequestro de DNS: Deteção, Prevenção e Mitigação