Die Bedrohung durch globales DNS-Hijacking

In einer Reihe verwandter Angriffe fälschen Hacker DNS-Einträge, um Benutzer auf gefälschte Websites zu schicken, auf denen Anmeldedaten und andere sensible Informationen gestohlen werden sollen.

Share facebook icon linkedin icon twitter icon email icon

Globales DNS-Hijacking

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Sie können DNS-Hijacking definieren
  • Sie können beschreiben, wie Angreifer DNS-Hijacking verwenden, um Anmeldedaten zu erhalten
  • Sie wissen, wie DNS-Provider und Webbrowser dazu beitragen können, DNS-Hijacking zu verhindern

Was ist die Bedrohung durch globales DNS-Hijacking?

Experten großer Cybersicherheitsunternehmen wie Tripwire, FireEye und Mandiant haben über eine alarmierend große Welle von DNS-Hijacking-Angriffen berichtet, die sich weltweit ereignet. Diese Angriffe richten sich gegen Regierungs-, Telekommunikations- und Interneteinrichtungen im Nahen Osten, in Europa, Nordafrika und Nordamerika.

Die Forscher haben die Zielwebsites nicht öffentlich identifiziert, aber eingeräumt, dass die Anzahl der Domains, die kompromittiert wurden, mehrere Dutzend beträgt. Bei diesen Angriffe, die seit mindestens 2017 stattfinden, werden früher gestohlene Daten verwendet, um Benutzer auf gefälschte Websites zu lenken, auf denen Anmeldedaten und andere sensible Informationen gestohlen werden sollen.

Obwohl sich niemand zu diesen Angriffen bekannt hat, glauben viele Experten, dass die Angriffe aus dem Iran kommen. Mehrere der IP-Adressen der Angreifer wurden in den Iran zurückverfolgt. Es ist zwar nicht ausgeschlossen, dass die Angreifer iranische IPs vortäuschen, um die Spur zu verwischen, aber die Ziele des Angriffs scheinen ebenfalls auf den Iran hinzuweisen. Zu den Angriffszielen gehören Regierungswebsites mehrerer Länder des Nahen Ostens, Websites mit Daten, die keinen finanziellen Wert haben, aber für die iranische Regierung sehr wertvoll wären.

Wie laufen diese DNS-Hijacking-Angriffe ab?

Es werden einige verschiedene Angriffsstrategien ausgeführt, aber der Ablauf der Angriffe ist wie folgt:

  1. Der Angreifer erstellt eine Dummy-Website, die genauso aussieht wie die Website, auf die er abzielt.
  2. Der Angreifer verwendet einen gezielten Angriff (z. B. Spear-Phishing), um Anmeldeinformationen für das Admin-Panel des DNS*-Anbieters für die Zielseite zu erhalten.
  3. Der Angreifer ändert dann im DNS-Admin-Fenster die DNS-Einträge für die angegriffene Site (dies wird als DNS-Hijacking bezeichnet), sodass Benutzer, die versuchen, auf die Site zuzugreifen, stattdessen zur Dummy-Site geleitet werden.
  4. Der Angreifer fälscht ein TLS-Verschlüsselungszertifikat, das den Browser des Benutzers davon überzeugt, dass die Dummy-Site legitim ist.
  5. Arglose Benutzer rufen die URL der kompromittierten Website auf und werden zur Dummy-Site weitergeleitet.
  6. Die Benutzer versuchen dann, sich auf der Dummy-Site anzumelden, und ihre Anmeldedaten werden vom Angreifer gesammelt.
DNS Hijacking

*Das Domain Name System (DNS) ist wie das Telefonbuch des Internets. Wenn ein Benutzer eine URL wie „google.com“ in seinen Browser eingibt, leiten die Einträge auf den DNS-Servern den Benutzer zum Ursprungsserver von Google. Wenn diese DNS-Einträge manipuliert werden, können Benutzer an einem Ort landen als dem gewünschten.

Wie können DNS-Hijacking-Angriffe verhindert werden?

Einzelne Benutzer können nicht viel tun, um sich vor dem Verlust von Anmeldedaten bei solchen Angriffen zu schützen. Wenn der Angreifer bei der Erstellung seiner Dummy-Site gründlich genug vorgeht, kann es selbst für technisch versierte Benutzer sehr schwierig sein, einen Unterschied zu erkennen.

Eine Möglichkeit, diese Angriffe abzuwehren, bestünde darin, dass DNS-Provider ihre Authentifizierung verbessern und Maßnahmen ergreifen, wie z. B. eine vorgeschriebene Zwei-Faktor-Authentifizierung, die es Angreifern erheblich erschweren würde, auf die DNS-Admin-Panels zuzugreifen. Außerdem lönnten Browser ihre Sicherheitsregeln aktualisieren und z. B. die Quelle von TLS-Zertifikaten überprüfen, um sicherzustellen, dass diese von einer Quelle stammen, die der Domain entspricht, für die sie verwendet werden.