在一系列相關的攻擊中,駭客偽造 DNS 記錄,將使用者傳送旨在竊取登入認證和其他敏感性資訊的虛假網站。
閱讀本文後,您將能夠:
複製文章連結
包括 Tripwire、FireEye 和 Mandiant 在內的主要網路安全公司的專家報告稱,在全球範圍內發生了驚人的 DNS 劫持攻擊浪潮。這些攻擊針對中東、歐洲、北非和北美的政府、電信和網際網路實體。
研究人員尚未公開確定受到針對的網站,但有數十個網域承認已遭到入侵。這些攻擊至少自 2017 年以來一直在發生,它們與之前被盜的認證結合使用,將使用者引導至旨在竊取登入認證和其他敏感性資訊的虛假網站。
儘管沒有人將這些攻擊歸因於於任何人,但許多專家認為這些攻擊來自伊朗。一些攻擊者的 IP 位址已追溯到伊朗。雖然攻擊者可能是在假裝為伊朗 IP 以擺脫追蹤,但攻擊的目標似乎也指向伊朗。目標包括幾個中東國家的政府網站,這些網站包含沒有任何經濟價值但對伊朗政府非常有價值的資料。
攻擊者執行幾種不同的攻擊策略,但攻擊流程如下:
*Domain Name System (DNS) 就像網際網路的電話簿。當使用者在瀏覽器中輸入 URL(例如「google.com」)時,其在 DNS 伺服器中的記錄會將該使用者導向到 Google 的來源伺服器。如果這些 DNS 記錄遭到篡改,則使用者可能會遇到意外的情況。
在這些類型的攻擊中,單個使用者無法採取太多措施來保護自己避免丟失認證。如果攻擊者在建立其假網站時足夠徹底,那麼即使是技術嫻熟的使用者也很難發現差異。
緩解這些攻擊的一種方法是讓 DNS 提供者加強其驗證,採取諸如要求雙因素認證之類的措施,這將使攻擊者更難以存取 DNS 管理面板。瀏覽器還可以更新其安全規則,例如仔細檢查 TLS 憑證的來源,以確保它們源自與所使用網域相符的來源。