Il dirottamento DNS (Domain Name System) è una seria minaccia per il tuo sistema e può avere conseguenze molto costose. Poiché l'attacco consente a una terza parte di acquisire il controllo delle impostazioni DNS e reindirizzare gli utenti a siti Web fraudolenti, il problema può interessare un'ampia varietà di utenti diversi. Per comprendere appieno il dirottamento del DNS, è importante avere un'idea generale di cosa sia il DNS e cosa faccia.
In breve, il DNS viene utilizzato per tracciare, catalogare e regolare i siti Web di tutto il mondo. Consente agli utenti di accedere alle informazioni convertendo un nome di dominio (come k aspersky.com) nell'indirizzo IP necessario al browser dell'utente
per caricare risorse Internet (come pagine Web o articoli di blog). Per un'analisi più approfondita su come funziona il DNS, dai un'occhiata al nostro articolo su spoofing DNS e poisoning della cache.
Ora
che hai un'idea di cosa sia il DNS e del suo scopo, esaminiamo ulteriormente il dirottamento DNS.
- Che cos'è il dirottamento DNS?
- Come funziona il dirottamento DNS?
- Come rilevare il dirottamento DNS?
- Come prevenire il dirottamento DNS?
- Domande frequenti sul dirottamento DNS
Che cos'è il dirottamento DNS?
Il dirottamento del Domain Name System, noto anche come attacco di reindirizzamento DNS, è una situazione in cui le query DNS inviate dal browser di una vittima vengono risolte in modo errato, reindirizzando l'utente a un sito Web dannoso.
Mentre alcuni attacchi di spoofing DNS, come il poisoning della cache DNS (in cui il sistema registra l'indirizzo IP fraudolento nella cache della memoria locale), si concentrano sulla modifica dei record DNS, il dirottamento DNS comporta la modifica delle stesse impostazioni DNS, spesso installando malware nei computer delle vittime. Ciò consente all'hacker di assumere il controllo dei router, intercettare i segnali DNS o semplicemente violare le comunicazioni DNS. Il dirottamento DNS in genere è uno dei tipi più dirompenti di attacchi al più ampio Domain Name System.
Rappresenta un importante problema sia per gli utenti personali che per le aziende. Nel caso di un singolo utente, consente agli autori dell'attacco di mettere in atto una truffa di phishing (in cui alle vittime vengono presentate versioni contraffatte di siti Web legittimi, che rubano i dati dell'utente, come password, credenziali di accesso e informazioni sulle carte di credito). Tuttavia, nel caso di una pagina Web rivolta ai consumatori (ad esempio, appartenente a un'azienda), consente ai criminali informatici di inoltrare i visitatori del sito Web dell'azienda a pagine fraudolente create appositamente. Una volta reindirizzati gli utenti, queste pagine Web create dagli hacker possono essere utilizzate per rubare credenziali di accesso e dati personali riservati. Questi dati possono includere informazioni per i dipendenti relative al funzionamento interno dell'azienda o anche dati finanziari sensibili. Come risultato, gli autori dell'attacco possono persino raccogliere informazioni dalle e-mail ufficiali in entrata. Nel complesso, il dirottamento DNS può essere un attacco costoso contro i dati e la privacy.
È interessante notare che molti importanti ISP (provider di servizi Internet) e governi utilizzano un tipo di dirottamento DNS per rilevare le richieste DNS dei propri utenti. Gli ISP eseguono tale operazione per raccogliere statistiche e visualizzare annunci pubblicitari quando gli utenti visitano spazi di dominio sconosciuti. A tale scopo, reindirizzano l'utente al loro sito Web, dove si trovano gli annunci, invece di visualizzare un messaggio di errore. I governi utilizzano il dirottamento DNS per la censura e per reindirizzare in modo sicuro i propri utenti a domini o pagine Web autorizzati.
Come funziona il dirottamento DNS?
Quando digiti l'indirizzo di un sito Web nel tuo browser, questo raccoglie informazioni per la pagina Web dalla cache locale del browser (se hai visitato il sito di recente) oppure invia una query DNS al server dei nomi, in genere fornito da un provider di servizi Internet affidabile. Il punto di comunicazione tra il browser che invia la richiesta DNS e la risposta del server dei nomi è il più vulnerabile agli attacchi perché non è criptato. È a questo punto che gli hacker intercettano la query e reindirizzano l'utente a uno dei loro siti Web dannosi per mettere in atto l'estorsione. Esistono quattro diversi tipi di dirottamento DNS che i criminali informatici utilizzano attualmente: "locale", "del router", "rogue" e "man-in-the-middle".
Dirottamento locale: in questo caso, un hacker installa un malware Trojan sul sistema della vittima per attaccare le impostazioni DNS locali. Dopo l'attacco, queste impostazioni locali possono essere modificate in modo da puntare direttamente ai server DNS dell'autore dell'attacco (ad esempio, anziché a un server predefinito). In tal modo, tutte le richieste effettuate dal browser della vittima saranno inviate ai server dell'hacker, che potranno restituire ogni tipo di contenuto. Possono anche indirizzarti verso altri server Web dannosi in generale.
Dirottamento del router: contrariamente a quanto si potrebbe pensare, il dirottamento del router è solitamente il primo punto di attacco per molti criminali informatici. Questo perché molti router presentano password predefinite o vulnerabilità del firmware esistenti, che gli hacker possono facilmente individuare (molte aziende non si prendono il tempo per personalizzare le credenziali di accesso dei propri router). Una volta effettuato l'accesso, gli hacker modificano le impostazioni DNS e specificano un server DNS preferito (di solito di loro proprietà), in modo che la conversione di un indirizzo Web in un indirizzo IP sia controllata esclusivamente da loro. Da qui, le richieste del browser degli utenti vengono inoltrate a siti dannosi. Ciò è particolarmente grave, in quanto l'attacco non riguarda solo un utente, ma tutti gli utenti connessi al router infetto.
Dirottamento rogue: questo tipo di crimine informatico è molto più complicato del dirottamento locale perché non può essere controllato dal dispositivo di destinazione. Invece, gli hacker dirottano il server dei nomi esistente dell'ISP per modificare voci selezionate. Come risultato, le vittime ignare sembrano accedere al server DNS corretto, ma che in realtà è stato infiltrato dagli hacker. I criminali informatici modificano quindi i record DNS per reindirizzare le richieste DNS dell'utente a un sito Web dannoso. Poiché gli ISP adottano standard di cybersecurity più elevati, questo attacco è molto più raro e difficile da eseguire. Quando si verifica, un attacco di questo tipo può colpire un numero enorme di utenti perché chiunque risolva le proprie query tramite questo server potrebbe essere una vittima.
Attacchi man-in-the-middle: questo tipo di attacco si concentra sull'intercettazione delle comunicazioni tra te e il DNS. Utilizzando strumenti specializzati, l'hacker interrompe la comunicazione tra un client e il server a causa della mancanza di criptaggio di molte richieste DNS. Agli utenti che inviano le richieste viene quindi fornito un indirizzo IP di destinazione diverso, che punta a un sito Web dannoso. Questo metodo può anche essere utilizzato come un tipo di attacco di poisoning della cache DNS sia sul dispositivo locale che sul server DNS stesso. Il risultato è molto simile al caso precedente.
Come rilevare il dirottamento DNS?
Fortunatamente, ci sono vari semplici modi per verificare se il tuo DNS è stato violato. Innanzitutto, è importante sapere che se alcuni dei siti Web che utilizzi regolarmente si caricano più lentamente del solito o visualizzi più annunci popup casuali (che in genere indicano che il tuo computer è "infetto"), il tuo DNS potrebbe essere stato violato. Tuttavia, con questi soli sintomi, è impossibile determinarlo con certezza. Ecco una serie di prove pratiche che puoi eseguire con il tuo computer:
Esegui un test con il comando "ping"
Il comando ping viene utilizzato per verificare se un indirizzo IP esiste effettivamente. Se il browser esegue il ping di un indirizzo IP inesistente ma effettua comunque la risoluzione, c'è un'alta probabilità che il DNS sia stato violato. Questa operazione può essere eseguita sia su Mac che su Windows. Per i computer Mac:
Apri il Terminale e inserisci il seguente comando:
Ping kaspersky123456.com
Se viene indicato "impossibile risolvere", il tuo DNS non ha problemi.
Se utilizzi un computer Windows:
Apri il prompt dei comandi e inserisci quanto segue:
ping kaspersky123456.com
Se viene indicato "impossibile risolvere", il tuo DNS non ha problemi.
Verifica il tuo router o usa un servizio di controllo del router
Il prossimo test è reso disponibile da molti siti online. I servizi digitali di controllo dei router funzionano controllando il tuo sistema con un resolver DNS affidabile e verificando se stai utilizzando un server DNS autorizzato. In alternativa, puoi visitare la pagina online di amministrazione del tuo router e controllare le impostazioni DNS.
Usa WholsMyDNS.com
Questo servizio online ti mostra i server DNS che stai utilizzando e l'azienda che li possiede. In generale, il browser utilizzerà l'indirizzo IP dei server DNS forniti dal tuo ISP. Se il nome dell'azienda non sembra familiare, il DNS potrebbe essere stato violato.
Se sei a conoscenza del fatto che i tuoi server DNS sono stati violati o se è già successo in precedenza, è consigliabile utilizzare un servizio DNS pubblico alternativo, come i server DNS pubblici di Google.
Come prevenire il dirottamento DNS?
Che si tratti di dirottamento DNS locale, del router o rogue, la cosa migliore è sempre evitare di essere hackerati. Fortunatamente, ci sono una serie di misure che puoi adottare al fine di rafforzare la sicurezza DNS e dei tuoi dati nel complesso.
Non fare mai clic su un collegamento sospetto o sconosciuto, inclusi i collegamenti in e-mail, messaggi di testo o ricevuti tramite social media. Tieni presente che gli strumenti che abbreviano gli URL possono mascherare ulteriormente le destinazioni dei collegamenti pericolosi, quindi evita di utilizzarli il più possibile. Anche se potrebbe richiedere più tempo, dovresti sempre scegliere di inserire manualmente un URL nel browser (ma solo dopo aver verificato che sia legittimo).
Utilizza un software antivirus affidabile: è sempre consigliabile eseguire regolarmente la scansione del computer alla ricerca di malware e aggiornare il software quando richiesto. Il software di sicurezza del sistema ti aiuterà a scoprire e rimuovere eventuali infezioni risultanti da un dirottamento DNS, soprattutto se sei stato infettato da malware Trojan durante un dirottamento locale. Poiché i siti Web dannosi possono distribuire ogni tipo di malware e programmi adware, è necessario eseguire costantemente la scansione di virus, spyware e altri problemi nascosti.
Utilizza una rete privata virtuale (VPN): una VPN ti fornisce un tunnel digitale criptato per tutte le query e il traffico del tuo sito Web. Le VPN più conosciute utilizzano server DNS privati che utilizzano esclusivamente richieste criptate end-to-end per proteggere il tuo computer locale e i server DNS. Il risultato sono server che accettano richieste che non possono essere interrotte, riducendo radicalmente la probabilità di un dirottamento DNS man-in-the-middle.
Cambia la password (e il nome utente) del router: sembra relativamente semplice e banale, ma molti utenti non prendono questa precauzione. Come accennato in precedenza, è molto facile violare le credenziali di accesso predefinite di un router perché vengono modificate molto raramente. Quando crei una nuova password, è sempre consigliabile utilizzare una password "complessa" (lunga circa 10-12 caratteri, contenente una combinazione di caratteri speciali, numeri, lettere maiuscole e minuscole).
Attenzione: se ti trovi su un sito Web che non conosci e vengono visualizzati diversi popup, pagine di destinazione e schede che non hai mai visto prima, abbandona immediatamente la pagina. Essere consapevoli dei segnali di allarme digitali è il primo passo per una migliore cybersecurity.
Tuttavia, se sei il proprietario di un sito Web, esistono diversi modi per impedire che il tuo DNS venga violato.
Limita l'accesso al DNS: limitare l'accesso alle impostazioni DNS solo a pochi membri del tuo team IT dedicato limita la possibilità che potenziali criminali informatici opportunisti riescano a ingannare i membri del team. Inoltre, assicurati che i pochi utenti autorizzati utilizzino l'autenticazione a due fattori ogni volta che accedono al registrar DNS.
Abilita il blocco client: alcuni registrar DNS supportano il "blocco client", che impedisce qualsiasi modifica ai record DNS senza approvazione. È consigliabile abilitarlo quando possibile.
Utilizza un registrar che supporti DNSSEC: le specifiche Domain Name System Security Extensions sono una sorta di etichetta di verifica, che contribuisce ad assicurare l'autenticità di una ricerca DNS. Di conseguenza, per gli hacker è più difficile intercettare le richieste effettuate dal tuo DNS.
Non renderti vulnerabile al dirottamento DNS e ad altre forme di attacchi malware. Le soluzioni di sicurezza Kaspersky ti consentono di mantenere le tue attività online sicure e private su più dispositivi. Scopri di più oggi stesso.
Domande frequenti sul dirottamento DNS
Che cos'è il dirottamento DNS?
Il dirottamento del Domain Name System, noto anche come attacco di reindirizzamento DNS, è una situazione in cui le query DNS inviate dal browser di una vittima vengono intercettate e risolte in modo errato, reindirizzando l'utente a un sito Web dannoso. Il DNS può essere dirottato localmente mediante malware, tramite il router, tramite intercettazione o tramite il server dei nomi.
Come funziona il dirottamento DNS?
Il dirottamento DNS funziona attaccando il punto di comunicazione tra il tuo browser che invia una richiesta DNS e la risposta del server dei nomi, perché in genere non è criptato. Attraverso questa intercettazione, un hacker può reindirizzarti a un sito Web dannoso a scopo di estorsione.
Come posso bloccare un dirottamento DNS?
Esistono diversi modi per bloccare e prevenire il dirottamento DNS. Per i singoli utenti, è importante evitare di fare clic su collegamenti sospetti o visitare domini con molti popup. Occorre utilizzare un efficiente software antivirus, modificare il nome utente e la password del router e accedere al Web utilizzando una VPN.
Prodotti correlati:
Kaspersky Security per le piccole imprese
Kaspersky Security per le medie imprese
Articoli e collegamenti correlati:
Suggerimenti per la sicurezza del computer su Mac e PC