A ameaça global de sequestro do DNS

Em uma série de ataques relacionados, os hackers estão forjando registros de DNS para encaminhar os usuários para sites falsos criados para roubar credenciais de login e outras informações sensíveis.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina sequestro de DNS
  • Descreva como os invasores estão usando o sequestro de DNS para obter credenciais de login
  • Descreva como os provedores de DNS e os navegadores web podem ajudar a evitar o sequestro de DNS

Copiar o link do artigo

O que é a ameaça global de sequestro de DNS?

Especialistas das principais empresas de segurança cibernética, incluindo a Tripwire, a FireEye e a Mandiant, relataram uma onda alarmantemente grande de ataques de sequestro de DNS ocorrendo em todo o mundo. Esses ataques têm como alvo entidades governamentais, de telecomunicações e de internet em todo o Oriente Médio, Europa, Norte da África e América do Norte.

Os pesquisadores não identificaram publicamente os sites visados, mas reconheceram que o número de domínios que foram comprometidos alcança as dezenas. Esses ataques, que vêm acontecendo desde pelo menos 2017, estão sendo usados juntamente com credenciais roubadas previamente para direcionar os usuários a sites falsos desenvolvidos para roubar as credenciais de login e outras informações sensíveis.

Embora ninguém tenha assumido o crédito por esses ataques, muitos especialistas acreditam que eles estão vindo do Irã. Vários endereços de IP dos invasores foram rastreados até o Irã. Embora seja possível que os invasores estejam falsificando IPs iranianos para despistar, os alvos do ataque também parecem indicar o Irã. Os alvos incluem sites do governo de vários países do Oriente Médio, sites contendo dados que não têm nenhum valor financeiro mas que seriam muito valiosos para o governo do Irã.

Como funcionam esses ataques de sequestro de DNS?

Há algumas estratégias de ataque diferentes sendo realizadas, mas o fluxo dos ataques é o seguinte:

  1. O invasor cria um site fictício que se parece exatamente como o site que eles estão visando.
  2. O invasor usa um ataque direcionado (como um spear phishing) para obter credenciais de login para o painel do Admin do provedor de DNS* para o site visado.
  3. O invasor então entra no painel do admin do DNS e muda os registros de DNS para o site visado (o que é conhecido como Sequestro de DNS), de modo que os usuários que tentarem acessar o site serão enviados para o site fictício.
  4. O invasor forja um certificado de criptografia TLS que convencerá o navegador de um usuário de que o site fictício é legítimo.
  5. Usuários desprevenidos vão para a URL do site comprometido e são redirecionados para o site fictício.
  6. Os usuários então tentam entrar no site fictício e suas credenciais de login são coletadas pelo invasor.

*O Domain Name System (DNS) é como a lista telefônica da internet. Quando um usuário digita uma URL, como "google.com" em seu navegador, seus registros nos servidores de DNS direcionam esse usuário para o servidor de origem do Google . Se esses registros de DNS forem adulterados, os usuários podem acabar em um lugar que eles não esperavam.

Como evitar ataques de sequestro de DNS?

Os usuários sozinhos não podem fazer muito para se proteger contra a perda de credenciais nesses tipos de ataques. Se o invasor for suficientemente minucioso ao criar seu site fictício, pode ser muito difícil, mesmo para usuários altamente técnicos, detectar a diferença.

Uma maneira de mitigar esses ataques seria os provedores de DNS reforçarem sua autenticação, tomando medidas como a exigência de autenticação de 2 fatores, o que tornaria significativamente mais difícil para os invasores acessar os painéis do admin do DNS. Os navegadores também poderiam atualizar suas regras de segurança, por exemplo, examinando a origem dos certificados TLS para garantir que a origem deles esteja de acordo com o domínio em que estão sendo utilizados.