DNS Hijacking: Когда система доменных имен становится угрозой безопасности

Благодаря системе доменных имен (DNS) пользователи Интернета могут вводить веб-адрес в браузер и перенаправляться на сайт без необходимости указывать IP-адрес. Запрос DNS передается непосредственно на сервер DNS, который автоматически отвечает правильным IP-адресом. Это простой метод, называемый разрешением имен, похожий на автоматический запрос справочника, который сопоставляет имя с номером.

Тот факт, что это такая важная основа для работы во Всемирной паутине, делает еще более страшным то, как легко DNS может быть использована в злонамеренных целях. Киберпреступники могут перехватывать запросы браузера и возвращать неверный ответ. В результате пользователь перенаправляется на неправильный или вредоносный веб-сайт, который может содержать вирусы или вредоносное ПО и собирать конфиденциальные личные данные. Таким образом, DNS Hijacking может нанести значительный ущерб.

Но как это работает? И как вы можете защитить себя от утечки данных? Давайте узнаем.

Когда вы пытаетесь открыть веб-сайт, вводя веб-адрес в браузер, выполняется DNS-запрос. Сайты, которые вы посещали недавно, хранятся в кэше браузера, и в этом случае запрос не передается в DNS. Во всех остальных случаях компьютер или смартфон должен связаться с сервером имен. Обычно их предоставляют интернет-провайдеры, но некоторые пользователи предпочитают использовать серверы доменных имен Google или публичные службы DNS.

Общение с сервером является наиболее рискованной частью, поскольку обмен запросами и ответами часто происходит без шифрования и основан на нашем доверии к системе. Это позволяет злоумышленникам перехватывать запросы и перенаправлять пользователей.

Маршрутизаторы являются первой точкой атаки для многих киберпреступников, злоупотребляющих тем, что немногие пользователи меняют учетные данные своих маршрутизаторов. Во многих семьях маршрутизатор настроен на использование имени пользователя и пароля, с которыми он изначально поставлялся. Многие производители не удосуживаются индивидуализировать данные для входа в систему для каждого отдельного устройства, что означает, что злоумышленники могут получить доступ к устройству, используя стандартные данные для входа.

Войдя в систему, они могут изменить настройки DNS и указать предпочтительный DNS-сервер. Злоумышленники обычно указывают свой собственный сервер. Разрешение имен, т.е. преобразование веб-адреса в IP-адрес, контролируется злоумышленником. Отсюда запросы веб-сайта могут быть перенаправлены на вредоносный сайт.

Этот вариант затрагивает компьютер пользователя. Злоумышленник использует троянскую программу для доступа к настройкам DNS устройства. Например, Windows позволяет пользователям вводить предпочитаемый DNS-сервер. Преступники могут воспользоваться этой функцией и изменить настройки так, чтобы они указывали на собственный DNS-сервер. Компьютер отправляет запрос непосредственно на вредоносный сервер. Таким образом может быть перенаправлен каждый запрос веб-сайта. Теоретически, владельцы устройств могут проверить, не были ли изменены их настройки, но большинство людей не следят регулярно за своими настройками DNS.

Перехват Rouge Hijacking более сложен. Он не затрагивает аппаратное обеспечение пользователя и поэтому не может контролироваться на уровне устройства. Вместо этого преступник захватывает существующий сервер имен интернет-провайдера. Устройства получают технический доступ к правильному DNS-серверу, но он (частично) уже не контролируется провайдером. Злоумышленники обычно изменяют избранные записи с помощью перехвата маршрутизации.

Этот тип атаки гораздо сложнее осуществить, поскольку большинство провайдеров серверов имен приняли очень высокие стандарты безопасности. Однако если хакер все же получит доступ, может пострадать огромное количество пользователей. Любой клиент, выполняющий разрешение имен через этот сервер, может стать жертвой DNS Hijacking.

Во время атаки «человек посередине» мошенник перехватывает связь между клиентом и сервером. Из-за отсутствия шифрования многих DNS-запросов преступник может прочитать сообщение. Запрос пользователя на веб-сайт манипулируется и сопоставляется с вредоносным IP-адресом. Оригинальный DNS-сервер на самом деле никогда не получает запрос.

При использовании DNS Hijacking пользователи перенаправляются на нежелательные веб-сайты, но в чем именно заключается вред? Теоретически, пользователи могут быть перенаправлены на сайты, где их система заражена вредоносным программным обеспечением. Однако на практике такой тип атаки встречается редко. Гораздо более распространены два метода, известные как фишинг и фарминг.

Фишинг — это вид мошенничества, при котором человека обманом заставляют зайти на сайт, маскирующийся под серьезную веб-страницу, чтобы украсть конфиденциальную информацию пользователя.

Финансовые учреждения являются главной мишенью для фишинговых атак. Например, пользователь может думать, что заходит на домашнюю страницу своего банка, а на самом деле он попал на страницу, имитирующую его банк. Когда пользователь вводит свое имя пользователя и пароль для входа в интернет-банк, фишер может сохранить эту информацию и использовать ее для завладения счетом.

DNS Hijacking не требуется при фишинговых атаках, поскольку последние основаны на доступе пользователей к манипулируемым ссылкам. Однако, когда система доменных имен повреждена, фишинговая атака может быть еще более вредоносной. Независимо от того, ввел ли человек правильный URL-адрес или даже перешел на сайт из закладки, он все равно будет перенаправлен на поддельный сайт. Поскольку DNS пользуется огромным доверием, большинство пользователей не проверяют, действительно ли они заходят на нужный сайт или просматривают мошенническую страницу.

Фарминг, с другой стороны, менее опасен для конечного пользователя, но может быть очень прибыльным для злоумышленников. В результате этой аферы пользователи попадают на поддельный сайт, заполненный рекламой. Эти веб-страницы не выполняют никаких реальных функций, но оператор получает доход при каждом посещении — даже если пользователь закрывает страницу сразу после ее открытия. Деньги, полученные таким образом, часто идут на финансирование другой преступной деятельности.

Однако не только киберпреступники используют DNS Hijacking. Все большее число правительств используют этот протокол для цензуры в Интернете, подавления политической оппозиции или запрета онлайн-контента для взрослых. Пользователям, зашедшим на цензурируемый сайт, сообщается, что страница недоступна, и они перенаправляются на другой сайт.

Некоторые интернет-провайдеры иногда используют DNS Hijacking для отображения сообщений об ошибках в несуществующих доменах. Например, если пользователь пытается открыть веб-адрес, который не зарегистрирован в DNS, или неправильно пишет URL, отображается сообщение об ошибке, называемое NXDOMAIN. Прежде чем появится ответ NXDOMAIN, запрос проходит через все уровни систем доменных имен. Если такой записи не существует, возвращается сообщение об ошибке.

В этот момент поставщик услуг Интернета может использовать DNS Hijacking для перехвата сообщения об ошибке и перенаправления запроса на другой веб-сайт. Некоторые поставщики услуг могут перенаправлять пользователей на веб-страницы с большим количеством рекламы, чтобы увеличить свои доходы или собственный веб-магазин. Хотя это не причиняет реального вреда, пользователи могут посчитать такую рекламу раздражающей.

Модели DNS Hijacking разнообразны, но и варианты защиты тоже.

В качестве отправной точки вы можете изменить учетные данные для входа в систему вашего маршрутизатора. Имеет смысл выбрать надежный пароль, но самое главное — изменить пароль по умолчанию. Мало кто из мошенников станет возиться с попыткой взломать пароль.

Кроме того, необходимо следить за обновлением прошивки маршрутизатора. Производители регулярно выпускают обновления, устраняющие недостатки в системе безопасности.

Вы можете защитить свой компьютер от троянских программ, используя антивирусное программное обеспечение и осторожно обращаясь с файлами в Интернете. Никогда не загружайте и не открывайте файлы из неизвестных или подозрительных источников.

Для дополнительной безопасности вы также можете установить VPN. Виртуальная частная сеть (VPN) защищает передачу конфиденциальных данных, пропуская прямое соединение между пользователем и веб-сайтом через отдельный зашифрованный сервер поставщика услуг VPN. Шифрование обеспечивает безопасную передачу данных и делает невозможными атаки «человек посередине».

Стоит относиться к онлайн-контенту скептически и осторожно. Вы также можете дважды проверить подлинность веб-сайтов, которые работают с конфиденциальными данными пользователей, например, банков или интернет-магазинов. SSL-сертификаты дают некоторые подсказки о том, насколько безопасна веб-страница.

В то же время разрешение имен становится все более безопасным. DNS over HTTPS и DNS over TLS — это усовершенствованные протоколы связи, которые обеспечивают дополнительную безопасность за счет шифрования для предотвращения атак «человек посередине» и повышения конфиденциальности пользователей. Однако эти протоколы еще не приняты в качестве стандартов для всех систем.