In einer Reihe verwandter Angriffe fälschen Hacker DNS-Einträge, um Benutzer auf gefälschte Websites zu schicken, auf denen Anmeldedaten und andere sensible Informationen gestohlen werden sollen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Sicherheit von Webanwendungen?
BGP-Hijacking
Phishing-Angriff
Datenschutzverletzung
Man-in-the-Middle-Angriff
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Experten großer Cybersicherheitsunternehmen wie Tripwire, FireEye und Mandiant haben über eine alarmierend große Welle von DNS-Hijacking-Angriffen berichtet, die sich weltweit ereignet. Diese Angriffe richten sich gegen Regierungs-, Telekommunikations- und Interneteinrichtungen im Nahen Osten, in Europa, Nordafrika und Nordamerika.
Die Forscher haben die Zielwebsites nicht öffentlich identifiziert, aber eingeräumt, dass die Anzahl der Domains, die kompromittiert wurden, mehrere Dutzend beträgt. Bei diesen Angriffe, die seit mindestens 2017 stattfinden, werden früher gestohlene Daten verwendet, um Benutzer auf gefälschte Websites zu lenken, auf denen Anmeldedaten und andere sensible Informationen gestohlen werden sollen.
Obwohl sich niemand zu diesen Angriffen bekannt hat, glauben viele Experten, dass die Angriffe aus dem Iran kommen. Mehrere der IP-Adressen der Angreifer wurden in den Iran zurückverfolgt. Es ist zwar nicht ausgeschlossen, dass die Angreifer iranische IPs vortäuschen, um die Spur zu verwischen, aber die Ziele des Angriffs scheinen ebenfalls auf den Iran hinzuweisen. Zu den Angriffszielen gehören Regierungswebsites mehrerer Länder des Nahen Ostens, Websites mit Daten, die keinen finanziellen Wert haben, aber für die iranische Regierung sehr wertvoll wären.
Es werden einige verschiedene Angriffsstrategien ausgeführt, aber der Ablauf der Angriffe ist wie folgt:
*Das Domain Name System (DNS) ist wie das Telefonbuch des Internets. Wenn ein Benutzer eine URL wie „google.com“ in seinen Browser eingibt, leiten die Einträge auf den DNS-Servern den Benutzer zum Ursprungsserver von Google. Wenn diese DNS-Einträge manipuliert werden, können Benutzer an einem Ort landen als dem gewünschten.
Einzelne Benutzer können nicht viel tun, um sich vor dem Verlust von Anmeldedaten bei solchen Angriffen zu schützen. Wenn der Angreifer bei der Erstellung seiner Dummy-Site gründlich genug vorgeht, kann es selbst für technisch versierte Benutzer sehr schwierig sein, einen Unterschied zu erkennen.
Eine Möglichkeit, diese Angriffe abzuwehren, bestünde darin, dass DNS-Provider ihre Authentifizierung verbessern und Maßnahmen ergreifen, wie z. B. eine vorgeschriebene Zwei-Faktor-Authentisierung, die es Angreifern erheblich erschweren würde, auf die DNS-Admin-Panels zuzugreifen. Außerdem könnten Browser ihre Sicherheitsregeln aktualisieren und z. B. die Quelle von TLS-Zertifikaten überprüfen, um sicherzustellen, dass diese von einer Quelle stammen, die der Domain entspricht, für die sie verwendet werden.