Kapning av domännamnssystem (Domain Name System, DNS) är ett allvarligt hot mot ditt system som kan få väldigt kostsamma följder. Eftersom attacken gör att skadliga tredjeparter kan ta över DNS-inställningarna och omleda användare till falska webbsidor kan flera olika användare påverkas. För att helt förstå DNS-kapning är det viktigt att ha en allmän uppfattning om vad DNS är och vad det gör.
Kort sagt används DNS för att spåra, katalogisera och reglera webbplatser över hela världen. Det gör att användare kan komma åt information genom att översätta ett domännamn (som k aspersky.com) till den IP-adress som användarens webbläsare behöver för
att läsa in internetresurser (som webbplatser eller bloggartiklar). Om du vill ha en mer djupgående insikt i hur DNS fungerar kan du läsa vår artikel om DNS-förfalskning och cacheförgiftning.
Nu
när du har en bättre idé om vad DNS är och dess syfte kan vi undersöka DNS-kapning vidare.
- Vad är DNS-kapning?
- Hur fungerar DNS-kapning?
- Hur upptäcker du DNS-kapning?
- Hur förhindrar du DNS-kapning?
- Vanliga frågor om DNS-kapning
Vad är DNS-kapning?
Kapning av domännamnssystem, även kallat en DNS-omdirigeringsattack, är när DNS-frågor som skickas från ett offers webbläsare läses in felaktigt och skickar användaren till en skadlig webbplats.
Vissa attacker av DNS-förfalskning, som DNS-cacheförgiftning (när ditt system loggar den falska IP-adressen i din lokala minnescache) fokuserar på att modifiera DNS-register, men DNS-kapning innebär att de faktiska DNS-inställningarna ändras, ofta genom att installera skadeprogram på offrets dator. Då kan hackaren ta över din router, fånga upp DNS-signaler eller helt enkelt hacka DNS-kommunikationer. DNS-kapning är vanligtvis en av de mer omstörtande typerna av attacker på det större domännamnssystemet.
Det innebär stora problem för både personanvändare och företag. Om en enda användare drabbas kan hackare utföra ett nätfiskebedrägeri (där falska versioner av lagliga webbplatser, som stjäl användares uppgifter, som lösenord, inloggningsuppgifter och kontokortsuppgifter, visas för offren). Men om en webbsida riktad mot kunder (som till exempel tillhör ett företag) drabbas kan nätbrottslingar skicka vidare besökare på ditt företags webbsida till falska sidor som de har skapat. När dina användare befinner sig där kan dessa hackerbyggda webbsidor användas igen för att stjäla inloggningsuppgifter och konfidentiella personuppgifter. Det kan bland annat vara information om anställda som är betydande för företagshemligheter eller till och med känsliga ekonomiska uppgifter. Som ett resultat av attacken kan de också hämta in information från officiella inkommande e-postmeddelanden. Allt som allt kan DNS-kapning vara en kostsam attack mot uppgifter och sekretess.
Intressant nog använder många erkända internetleverantörer (ISP) och myndigheter en typ av kapning för att ta över sina användares DNS-förfrågningar. Internetleverantörer gör det för att samla in statistik och tillhandahålla annonser när användare besöker okända domänutrymmen. De gör detta genom att omleda dig till sin webbsida, där deras annonser finns, istället för att ge dig ett felmeddelande. Myndigheter använder DNS-kapning i censursyfte och för att säkert omleda sina användare till myndighetsgodkända webbdomäner eller -sidor.
Hur fungerar DNS-kapning?
När du skriver in en webbplatsadress i din webbläsare samlar den in information för webbplatsen från din lokala webbläsarcache (om du nyligen besökte sidan) eller så skickar den en DNS-fråga till namnservern (vanligtvis tillhandahållen av en ansedd internetleverantör). Kommunikationspunkten mellan din webbläsare som skickar DNS-förfrågan och namnserverns svar är som mest utsatt för attack eftersom den inte är krypterad. Det är här hackare fångar upp frågan och omleder användaren till en av sina skadliga webbplatser i utpressningssyfte. Det finns fyra olika typer av DNS-kapning som nätbrottslingar använder idag: ”lokal”, ”router”, ”rouge” och ”man-in-the-middle”.
Lokal kapning: Här installerar hackaren en trojan i ditt system för att attackera de lokala DNS-inställningarna. Efter attacken kan de ändra dessa lokala inställningar så att de pekar direkt på deras egna DNS-servrar (till exempel, istället för en standard -server). Sedan skickas alla förfrågningar från offrets webbläsare till hackarens servrar så att de kan svara med vad som helst. De kan också leda dig till andra skadliga webbservrar.
Router-kapning: I motsats till vad vissa kanske tror är router-kapning vanligtvis det första stället som många nätbrottslingar attackerar. Det beror på att många routers har standardlösenord eller befintliga sårbarheter i fast programvara, vilket hackare lätt kan hitta (många företag tar sig inte tid att skapa unika lösenord för sina routers). När hackare har loggat in kan de ändra DNS-inställningarna och ange en föredragen DNS-server (som vanligtvis ägs av dem), så att omvandlingen av en webbadress till en IP-adress endast styrs av dem. Sedan förs användarnas webbläsarförfrågningar vidare till skadliga webbplatser. Detta är särskilt allvarligt eftersom det inte bara påverkar en användare, utan alla användare som är anslutna till den smittade routern.
Rouge-kapning: Denna typ av nätbrott är mycket mer invecklad än lokal kapning eftersom den inte kan styras från målenheten. Istället kapar hackare internetleverantörens befintliga namnserver för att ändra utvalda poster. Därför tror användare att de ansluter till rätt DNS-server, när den i själva verket har infiltrerats av hackare. Sedan ändrar nätbrottslingarna DNS-posterna för att omleda användarens DNS-förfrågningar till en skadlig webbplats. Till följd av att internetleverantörer inför högre standarder för nätsäkerhet är denna attack mycket ovanligare och svårare att utföra. När denna attack faktiskt inträffar kan den påverka ett stort antal användare eftersom alla som löser sina frågor via denna server kan falla offer.
Man-in-the-middle-attacker: denna typ av attack fokuserar på att fånga upp kommunikationen mellan dig och en DNS. Med hjälp av specialverktyg stör hackaren kommunikationen mellan en klient och server på grund av bristen på kryptering i många DNS-förfrågningar. Användare som skickar förfrågningar ges sedan en annan destinations IP-adress, vilken pekar på en skadlig webbplats. Detta kan också användas som en typ av förgiftningsattack mot DNS-cacher både på din lokala enhet och själva DNS-servern. Resultatet är ungefär detsamma som ovan.
Så här upptäcker du DNS-kapning
Som tur är finns det flera olika och lätta sätt att bekräfta om din DNS har hackats. För det första är det viktigt att känna till att om några av de webbplatser som du regelbundet använder konsekvent läses in långsammare än vanligt eller om du får fler slumpmässiga popup-annonser (som ofta meddelar att din dator är ”smittad”) kan din DNS mycket väl ha hackats. Men det är omöjligt att vara säker endast utifrån dessa symptom. Så här är ett antal praktiska test som du kan utföra på din enhet:
Utför ett ”pingkommandotest”
Ett pingkommando används i huvudsak till att se om en IP-adress faktiskt finns. Om din webbläsare pingar en IP-adress som inte finns och den ändå blir löst är det stor risk att din DNS har hackats. Detta test kan utföras på Mac och Windows. På Mac ska du:
Öppna terminalen och ange följande kommando:
Ping kaspersky123456.com
Om svaret blir ”kan inte lösa” är din DNS inte smittad.
Om du använder en Windows-dator behöver du bara:
Öppna kommandotolken och ange följande:
ping kaspersky123456.com
Om svaret blir ”kan inte lösa” är din DNS inte smittad.
Kontrollera din router eller använd en ”routerkontroll”
Nästa test finns på många webbplatser på nätet. Digitala tjänster för routerkontroll kontrollerar ditt system med en pålitlig DNS-resolver och ser om du använder en godkänd DNS-server. Du kan också gå till din routers administratörssida på nätet och kontrollera DNS-inställningarna där.
Använd WholsMyDNS.com
Denna nättjänst visar dig vilka DNS-servrar du använder och vilket företag som äger dem. I allmänhet använder din webbläsare IP-adressen för de DNS-servrar som tillhandahålls av din internetleverantör. Om du inte känner igen företagsnamnet kan din DNS ha blivit kapad.
Om du är medveten om att dina DNS-servrar hackas, eller om det har hänt förut, rekommenderar vi att använda en alternativ allmän DNS-tjänst, till exempel Googles allmänna DNS-servrar.
Hur kan du förhindra DNS-kapning?
Oavsett om det gäller lokal, router-, eller rogue-kapning av DNS är det alltid bättre att undvika att hackas från början. Som tur är finns det flera åtgärder som du kan vidta, som stärker din DNS-säkerhet och din datasäkerhet i sin helhet.
Klicka aldrig på en misstänkt eller okänd länk: Det inkluderar länkar i e-postmeddelanden, SMS-meddelanden eller via sociala medier. Kom ihåg att vara medveten om att verktyg som förkortar URL-adresser även kan dölja farliga länkdestinationer, så undvik att använda dessa så ofta som möjligt. Även om det kan vara tidskrävande bör du alltid välja att manuellt ange en URL i din webbläsare (men endast efter att du bekräftat att den är laglig).
Använd ansedda antivirusprogram: Det är alltid bästa metod att regelbundet genomsöka din dator efter skadeprogram och uppdatera din programvara när du uppmanas till det. Ditt systems säkerhetsprogram hjälper dig att visa och ta bort smitta som DNS-kapningar medför, särskilt om du har smittats av trojaner under en lokal kapning. Eftersom skadliga webbplatser kan medföra alla typer av skadeprogram och spionprogram bör du konsekvent genomsöka din enhet efter virus, spionprogram och andra dolda problem.
Använd ett virtuellt privat nätverk (VPN): Ett VPN ger dig en krypterad digital tunnel för alla dina webbplatsfrågor och trafik. De flesta välkända VPN-tjänster använder privata DNS-servrar som endast använder fullt krypterade förfrågningar för att skydda din lokala enhet och deras DNS-servrar. Resultatet blir att servrar tar förfrågningar som inte kan störas och därmed minskar sannolikheten för en man-in-the-middle-kapning av DNS-servern.
Ändra din routers lösenord (och användarnamn): Det kan verka ganska enkelt och självklart, men många användare vidtar inte denna försiktighetsåtgärd. Som vi nämnt tidigare är det väldigt lätt att knäcka standardinloggningsuppgifterna för en router eftersom de så sällan ändras. När du skapar ett nytt lösenord rekommenderar vi alltid att använda ett ”starkt” lösenord (omkring 10–12 tecken långt, innehållande en blandning av specialtecken, siffror, stora bokstäver och små bokstäver).
Var uppmärksam: Om du befinner dig på en webbplats som du inte känner till och den visar dig olika popup-rutor, landningssidor och flikar som du aldrig tidigare sett bör du omedelbart lämna sidan. Att vara medveten om de digitala varningssignalerna är det första steget till bättre nätsäkerhet.
Däremot, om du är en webbplatsägare, finns det några olika sätt att förhindra att din DNS kapas.
Begränsa åtkomst till DNS: Om du begränsar åtkomsten till dina DNS-inställningar till endast ett fåtal av dina särskilda IT-teammedlemmar minskar du risken för att möjliga opportunistiska nätbrottslingar drar fördel av dina teammedlemmar. Se även till att de få utvalda använder tvåfaktorsautentisering när de besöker DNS-registratorn.
Aktivera klientlås: Det finns vissa DNS-registratorer som stöder ”klientlåsning”, vilket förhindrar att DNS-posterna ändras utan godkännande. Vi rekommenderar att aktivera det när du kan.
Använd en registrator som stöder DNSSEC: Säkerhetstilläggen för domännamnssystem är en sorts ”verifierad äkta” märkning, vilket gör en DNS-sökning autentisk. Det gör det svårare för hackare att fånga upp förfrågningarna från din DNS.
Se till att du inte utsätts för DNS-kapning och andra typer av skadeprogram. Med Kaspersky Security-lösningar kan du hålla din nätaktivitet säker och privat på flera enheter. Ta reda på mer idag.
Vanliga frågor om DNS-kapning
Vad är DNS-kapning?
Kapning av domännamnssystem, även kallat en DNS-omdirigeringsattack, är när DNS-frågor som skickas från ett offers webbläsare fångas upp och läses in felaktigt och skickar användaren till en skadlig webbplats. DNS kan hackas lokalt med skadeprogram, via routern, via uppsnappande eller via namnservern.
Hur fungerar DNS-kapning?
Under en DNS-kapning attackeras kommunikationspunkten mellan din webbläsare som skickar en DNS-förfrågan och namnserverns svar eftersom den ofta inte krypteras. Vid detta uppsnappande kan en hackare omleda dig till en av sina skadliga webbplatser i utpressningssyfte.
Hur kan jag stoppa en DNS-kapning?
Det finns ett flertal sätt att stoppa och förhindra DNS-kapning. Individuella användare bör inte klicka på misstänkta länkar eller besöka domäner med många popup-rutor. De bör använda bra antivirusprogram, ändra användarnamn och lösenord till routern och besöka webben med ett VPN.
Relaterade produkter:
Kaspersky Security for Small Business
Kaspersky Security for Businesses
Relaterade artiklar och länkar:
Säkerhetstips för Mac kontra stationär dator
Vad är DNS-förfalskning och cacheförgiftning?
Typer av skadlig programvara och exempel på skadlig programvara