Hvad er DNS-hijacking?
Hijacking af DNS-servere (DNS står for Domain Name System, dvs. domænenavnesystem) er en alvorlig trussel mod alle systemer, og hvis problemet først opstår, kan det være meget dyrt at løse. Denne form for angreb indebærer, at en hacker overtager DNS-indstillingerne og omdirigerer intetanende brugere til falske websteder. For fuldt ud at forstå DNS-hijacking er det vigtigt at have en generel idé om, hvad DNS er, og hvad det gør.
Kort sagt bruges DNS til at spore og katalogisere websteder over hele verden og sørge for, at de overholder de gældende navnestandarder. Systemet giver brugere adgang til onlineindhold ved at oversætte et domænenavn (f.eks. k aspersky.com) til den IP-adresse,
som brugerens browser skal bruge til at finde frem til det rigtige websted. Hvis du vil vide mere, er der detaljerede oplysninger om, hvordan DNS fungerer, i vores artikel om DNS-spoofing og cache-inficering.
Når
vi nu har defineret, hvad DNS er, og hvad den bruges til, kan vi kaste et blik på fænomenet DNS-hijacking.
- Hvad er DNS-hijacking?
- Hvordan fungerer DNS-hijacking?
- Hvordan opdager jeg DNS-hijacking?
- Hvordan undgå jeg at blive ramt af DNS-hijacking?
- Ofte stillede spørgsmål om DNS-hijacking
Hvad er DNS-hijacking?
DNS-hijacking er en form for DNS-omdirigeringsangreb, hvor DNS-forespørgsler fra offerets browser oversættes med vilje forkert med det formål at omdirigere brugeren til et skadeligt websted.
Mens nogle former for DNS-spoofing-angreb, herunder DNS-cache-inficering (hvor dit system lagrer den falske IP-adresse i den lokale hukommelsescache), er designet til at ændre DNS-posterne, involverer DNS-hijacking ændring af selve DNS-indstillingerne, hvilket typisk opnås ved at installere malware på ofrets computere. Dette giver hackeren mulighed for at overtage kontrol over dine routere, opsnappe DNS-trafikken og hacke DNS-kommunikationen. DNS-hijacking betragtes en af de mere farlige former for angreb på DNS-systemet.
Det er et stort problem for både private brugere og virksomheder. Angreb rettet mod private brugere bruges typisk til at udføre phishingangreb, hvor offeret bliver omdirigeret til falske versioner af legitime websteder, som så stjæler brugernes oplysninger – f.eks. deres adgangskoder, loginoplysninger og kreditkortoplysninger. Rettes angrebet mod et kommercielt websted, kan hackerne videresende de besøgende på virksomhedens websted til falske sider, som hackerne kontrollerer. Og når først brugerne er der, risikerer de at få franarret deres loginoplysninger og andre vigtige personlige oplysninger. Det kan f.eks. være vigtige forretningsoplysninger eller måske følsomme finansielle oplysninger. Et sådant angreb kan også bruges til at opsnappe indgående e-mailtrafik. Så DNS-hijacking udgør en stor fare for personlige oplysninger og privatliv, og det kan have store konsekvenser.
Interessant nok bruger mange internetudbydere og offentlige institutioner en form for DNS-hijacking til at kontrollere visse DNS-anmodninger fra deres egne brugere. Internetudbydere bruger det typisk til statistik og levering af annoncer, når deres brugere forsøger at oprette forbindelse til ugyldige adresser. Det gør de ved at omdirigere brugeren til deres eget websted i stedet for at vise en fejlmeddelelse om, at adressen ikke findes. Offentlige institutioner vil typisk bruge DNS-hijacking-teknologien til censur og sikker omdirigering af deres brugere til statsautoriserede webdomæner eller -sider.
Hvordan fungerer DNS-hijacking?
Når du indtaster navnet på en webside i din browser, vil browseren indhente oplysninger om websidens adresse fra din lokale browsercache (hvis du har besøgt webstedet for nylig), eller den vil sende en DNS-forespørgsel til navneserveren (der normalt stilles til rådighed af en pålidelig internetudbyder). Kommunikationen mellem din browser og navneserveren er sårbar over for angreb, fordi den ikke er krypteret. Det er her, hackerne opsnapper forespørgslen og omdirigerer brugeren til et af deres egne websteder. Der er fire forskellige former for DNS-hijacking, der bruges af hackere i dag: "lokal", "router", "rogue" og "man-in-the-middle".
Lokal hijacking: Hackeren installerer en trojansk hest på din computer, som inficerer computerens DNS-indstillinger. Hackeren kan ændre de lokale DNS-indstillinger, så de peger direkte på deres egne DNS-servere i stedet for at bruge en godkendt server. Nu vil alle anmodninger fra offerets browser blive sendt til hackerens servere, og disse kan sende det svar, som hackeren har valgt. De kan på den måde videresende dig til skadelige websteder.
Router-hijacking: I modsætning til, hvad nogle mennesker måske tror, er hijacking af routeren normalt det foretrukne angrebsmål for mange hackere. Mange routere bruger standardadgangskoder, eller de har kendte sikkerhedshuller, som hackerne kan udnytte, især fordi mange virksomheder ikke tager sig tid til at ændre routerens standardindstillinger. Når hackeren først er logget ind, kan han eller hun ændre routerens DNS-indstillinger til at pege på hackerens egen DNS-server, så oversættelsen af webadresser til IP-adresser styres af hackeren. Nu kan brugernes browseranmodninger videresendes til skadelige websteder. Denne form for hijacking er især alvorlig, fordi den ikke kun påvirker én bruger, men alle de brugere, der anvender den inficerede router.
Rogue-hijacking: Denne type cyberkriminalitet er noget mere kompleks end lokal hijacking, fordi den ikke involverer et direkte angreb på offerets enhed. I stedet hijacker hackeren internetudbyderens navneserver, så den sender forkerte svar tilbage. Offeret anet ikke uråd, fordi den korrekte DNS-server er i brug – men den er blevet infiltreret af hackere. Hackerne ændrer navneserverens DNS-poster for at omdirigere brugernes DNS-anmodninger til et skadeligt websted. Denne form for angreb er efterhånden meget sjælden og vanskelig at gennemføre, fordi internetudbyderne bruger stadig højere og højere standarder inden for cybersikkerhed. Et sådant angreb kan påvirke et stort antal brugere, fordi alle, der får deres forespørgsler behandlet af den kompromitterede server, kan blive et potentielt offer.
Man-in-the-middle-angreb: Denne form for angreb fokuserer på opsnapning af kommunikationen mellem softwareklienten og DNS-serveren. Ved hjælp af specialværktøjer afbryder hackeren kommunikationen mellem softwareklienten og serveren. Dette er muligt, fordi mange DNS-anmodninger ikke bruger kryptering. Brugeren, der har sendt anmodningen, får derefter et falsk svar med en IP-adresse på et skadeligt websted. Dette kan også bruges som en form for DNS-cache-inficering på både din lokale enhed og selve DNS-serveren. Resultatet er stort set det samme som ved angreb beskrevet ovenfor.
Sådan opdager du DNS-hijacking
Der findes heldigvis en række forskellige og enkle måder at undersøge, om din DNS-server er blevet hacket. Først og fremmest skal du lægge mærke til, om nogle af de websteder, som du regelmæssigt bruger, pludselig indlæses langsommere end normalt, eller om du ser flere tilfældige pop op-reklamer end normalt. Dette kan være tegn på, at enten din computer eller din DNS-server er blevet hacket. Men disse symptomer alene kan ikke bruges til at stille en sikker diagnose. Udfør følgende tests på din computer:
Lav en ping-test
En ping-kommando kan bl.a. bruges til at undersøge, om en IP-adresse rent faktisk eksisterer. Hvis din browser pinger en ikke-eksisterende IP-adresse, og den kan oversættes til en webadresse, er der en stor chance for, at din DNS-server er blevet hacket. Testen kan udføres på en Mac- eller Windows-computer. Hvis du har en Mac-computer:
Åbn Terminal, og indtast følgende kommando:
Ping kaspersky123456.com
Hvis resultatet er, at webadressen ikke kan findes, er din DNS OK.
Hvis du bruger en Windows-computer:
Åbn kommandoprompten, og indtast følgende:
ping kaspersky123456.com
Hvis resultatet er, at webadressen ikke kan findes, er din DNS OK.
Tjek din router
Der findes mange websteder, der har onlineværktøjer, som kan tjekke din router. Disse værktøjer kan undersøge, om dit system bruger en pålidelig DNS-server. Du kan også gå ind på routers administrationsside og tjekke routerens DNS-indstillinger selv.
Brug whoismydns.com
Denne onlinetjeneste viser dig de DNS-servere, du bruger, og den virksomhed, der ejer dem. Som udgangspunkt bruger din browser IP-adressen på DNS-servere, der stilles til rådighed af din internetudbyder. Hvis firmanavnet ikke virker bekendt, kan det være tegn på, at din DNS er blevet hijacket.
Hvis du har en mistanke om, at dine DNS-servere er blevet hacket, eller det er sket før, anbefaler vi, at du bruger en anden pålidelig DNS-tjeneste, f.eks. de DNS-servere, der stilles til rådighed af Google.
Hvordan undgå jeg at blive ramt af DNS-hijacking?
Uanset om det drejer sig om lokal-, router- eller rogue DNS-hijacking, er det altid bedre at undgå at blive hacket i første omgang. Heldigvis er der en række ting, du kan gøre for at styrke din DNS-sikkerhed og din datasikkerhed i det hele taget.
Klik aldrig på et mistænkeligt eller ukendt link: Det gælder også links i e-mails, sms'er og opslag på sociale medier. Vær opmærksom på, at onlineværktøjer, der forkorter URL-adresser, også kan bruges til at maskere farlige links, så undgå at bruge dem i det omfang, det kan lade sig gøre. Selvom det kan være tidskrævende, bør du altid indtaste URL-adressen i din browser manuelt – men først efter at du har vurderet, at den er sikker.
Brug pålidelig antivirussoftware: Det er altid en god ide regelmæssigt at scanne din computer for malware og opdatere computerens software, når du bliver bedt om det. Computerens sikkerhedssoftware vil hjælpe dig med at registrere og fjerne eventuelle infektioner, der opstår som følge af en DNS-hijacking, især hvis din computer er blevet inficeret med en trojansk hest ved lokal hijacking. Da skadelige websteder kan indeholde alle typer af malware og adware, bør du scanne for virus, spyware og andre skjulte farer i realtid.
Brug en VPN-løsning (virtuelt privat netværk): En VPN-løsning er en krypteret digital tunnel til alle dine webstedsforespørgsler og din datatrafik. De fleste kendte VPN-løsninger bruger private DNS-servere, der automatisk krypterer alle anmodninger for at kunne beskytte din lokale computer og de DNS-anmodninger og -svar, den sender og modtager. Det betyder, at DNS-trafikken ikke kan opsnappes og pilles ved, hvilket radikalt reducerer risikoen for man-in-the-middle-DNS-hijacking.
Skift adgangskoden og brugernavnet til routeren: Dette virker helt indlysende, men mange brugere tager alligevel ikke denne forholdsregel. Som nævnt tidligere er det relativt nemt at knække en routers standardloginoplysninger. Ved oprettelse af en ny adgangskode anbefaler vi altid at vælge en såkaldt "stærk" adgangskode, dvs. en, der indeholder ca. 10-12 tegn og er en blanding af specieltegn, tal samt store og små bogstaver.
Vær opmærksom: Hvis du havner på et ukendt websted, hvor du bliver bombarderet med diverse pop op-meddelelser og nye faner, og du bliver omdirigeret til sider, du ikke forventede at se, bør du forlade webstedet med det samme. At være opmærksom på de forskellige signaler er det første skridt til bedre cybersikkerhed.
Hvis du har en hjemmeside, er der flere ting, du kan gøre for at forhindre DNS-hijacking.
Begræns adgang til DNS-indstillinger: Hvis der kun er udvalgte medlemmer af it-teamet, der har adgang til DNS-indstillingerne, er der mindre risiko for, at cyberkriminelle snyder teammedlemmerne i at give dem adgang. Sørg også for, at de it-medarbejdere, der har adgang, bruger tofaktorgodkendelse til at logge på hos DNS-registratoren.
Aktivér klientlås: En række DNS-registratorer understøtter funktionen til "klientlåsning", der forhindrer ændringer i DNS-indstillingerne uden formel godkendelse. Vi anbefaler, at du aktiverer denne funktion, hvis du har mulighed for det.
Brug en registrator, der understøtter DNSSEC: Domain Name System Security Extensions er en blåstemplingsstandard, der bekræfter autenticiteten af et DNS-opslag. Dette gør det meget mere vanskeligt for hackere at opsnappe systemets DNS-trafik.
Gør alt, hvad du kan for at undgå at blive offer for DNS-hijacking og andre former for malwareangreb. Kaspersky Security Solutions beskytter din onlineaktivitet på tværs af flere enheder. Få mere at vide i dag.
Ofte stillede spørgsmål om DNS-hijacking
Hvad er DNS-hijacking?
DNS-hijacking er en form for DNS-omdirigeringsangreb, hvor DNS-forespørgsler fra offerets browser opsnappes og med vilje oversættes forkert med det formål at omdirigere brugeren til et skadeligt websted. DNS-trafikken kan hijackes lokalt ved hjælp af malware, via routeren, gennem dataopsnapning eller via navneserveren.
Hvordan fungerer DNS-hijacking?
DNS-hijacking fungerer på den måde, at kommunikationen mellem din browser og navneserveren opsnappes af hackere. Dette er muligt, fordi denne form for kommunikation ofte ikke er krypteret. Ved at opsnappe DNS-kommunikationen kan hackerne omdirigere brugeren til et af deres egne websteder, der er farlige for brugeren.
Hvordan stopper jeg DNS-hijacking?
DNS-hijacking kan stoppes og forhindres på flere måder. Som almindelig privatbruger bør du aldrig klikke på mistænkelige links eller besøge websteder, der viser mange pop op-meddelelser. Du bør bruge en pålidelig antivirussoftware, ændre brugernavnet og adgangskoden til routeren og bruge en VPN-løsning, når du surfer på internettet.
Relaterede produkter:
Kaspersky Security for Small Businesses
Kaspersky Security for Medium Businesses
Relaterede artikler og links:
Hvad er DNS-hijacking?
Kaspersky
