Het kapen van een Domain Name System (DNS) kan een ernstige bedreiging vormen voor je systeem en zeer dure gevolgen hebben. Dit soort aanvallen stelt een kwaadwillende derde partij in staat om de DNS-instellingen over te nemen en gebruikers om te leiden naar frauduleuze websites. Het kan dus verschillende gebruikers treffen. Om DNS-kaping volledig te begrijpen, is het belangrijk om een algemeen idee te hebben van wat het DNS is en wat het doet.
Kort gesteld wordt het DNS gebruikt om websites over de hele wereld te volgen, catalogiseren en reguleren. Hiermee kunnen gebruikers toegang krijgen tot informatie door een domeinnaam te vertalen (zoals k aspersky.com) naar het IP-adres dat de browser
van de gebruiker nodig heeft om internetbronnen te laden (zoals webpagina's of blogartikelen). Als je een meer diepgaand beeld wilt van hoe het DNS werkt, bekijk dan ons artikel over DNS-spoofing en cachevergiftiging.
Nu
je een beter idee hebt van wat het DNS is en wat het doel ervan is, gaan we DNS-kaping even verder onderzoeken.
- Wat is het DNS-kapen?
- Hoe werkt DNS-kaping?
- Hoe kan ik DNS-kaping detecteren?
- Hoe kan ik DNS-kaping voorkomen?
- Veelgestelde vragen over DNS
Wat is DNS-kaping?
Kaping van het Domain Name System , ook bekend als een DNS-omleidingsaanval, komt voor wanneer de DNS-query's die vanuit de browser van een slachtoffer worden verzonden onjuist worden opgelost, waardoor de gebruiker wordt omgeleid naar een kwaadaardige website.
Terwijl sommige DNS-spoofing-aanvallen, zoals DNS-cachevergiftiging (waarbij je systeem het frauduleuze IP-adres in je lokale geheugencache registreert), gericht zijn op het wijzigen van de DNS-records, omvat DNS-kaping het wijzigen van de DNS-instellingen zelf, vaak door malware op de computers van het slachtoffer te installeren. Zo kan de hacker jouw router overnemen, DNS-signalen onderscheppen of gewoon de DNS-communicatie hacken. DNS-kaping is meestal een van de meer verstorende soorten aanvallen op het bredere Domain Name System.
Het is een groot probleem voor zowel persoonlijke gebruikers als bedrijven. In het geval van een enkele gebruiker kunnen kapers een phishing-scam uitvoeren (waarbij slachtoffers valse versies van legitieme websites te zien krijgen, die gebruikersgegevens stelen, zoals wachtwoorden, inloggegevens en creditcardgegevens). In het geval van een consumentgerichte webpagina (bijvoorbeeld van een bedrijf), kunnen cybercriminelen de bezoekers van de website van jouw bedrijf echter doorsturen naar frauduleuze pagina's die ze hebben gemaakt. Zodra jouw gebruikers op op deze door hackers gebouwde webpagina's zijn, kunnen ze worden gebruikt om inloggegevens en vertrouwelijke persoonlijke gegevens te stelen. Dit kan werknemersinformatie zijn die relevant is voor de interne werking van je bedrijf of zelfs gevoelige financiële gegevens. Als gevolg van deze aanval kunnen ze zelfs informatie verzamelen uit officiële inkomende e-mails. Over het algemeen kan DNS-kaping een kostbare aanval op gegevens en privacy zijn.
Veel erkende ISP's (Internet Service Providers) en overheden gebruiken trouwens een soort DNS-kaping om de DNS-verzoeken van hun gebruikers over te nemen. ISP's doen dit om statistieken te verzamelen en advertenties te bieden wanneer gebruikers onbekende domeinruimten bezoeken. Ze doen dit door je om te leiden naar hun website, waar hun advertenties zijn, in plaats van een foutmelding te geven. Overheden gebruiken DNS-kaping om te censureren en hun gebruikers veilig om te leiden naar door de overheid geautoriseerde webdomeinen of -pagina's.
Hoe werkt DNS-kaping?
Wanneer je een websiteadres in je browser typt, wordt er informatie verzameld voor de webpagina uit je lokale browsercache (als je de site onlangs hebt bezocht) of wordt een DNS-query verzonden naar de naamserver (meestal geleverd door een erkende internetprovider). Het communicatiepunt tussen jouw browser die de DNS-query verzendt en het antwoord van de naamserver is het meest kwetsbaar voor aanvallen omdat het niet is gecodeerd. Op dit punt onderscheppen de hackers de query en leiden ze de gebruiker om naar een van hun kwaadaardige websites voor afpersing. Er zijn vier verschillende soorten DNS-kaping die cybercriminelen tegenwoordig gebruiken: "local", "router", "rogue" en "man-in-the-middle".
Local-kaping: hierbij installeert een hacker een Trojan-malware op jouw systeem om de lokale DNS-instellingen aan te vallen. Na de aanval kunnen ze deze lokale instellingen wijzigen om rechtstreeks naar hun eigen DNS-servers te verwijzen (bijvoorbeeld in plaats van een standaard server). Vanaf hier worden alle verzoeken van de browser van het slachtoffer naar de servers van de hacker verzonden en konden ze terugzenden wat ze willen. Ze kunnen je ook doorverwijzen naar andere kwaadaardige webservers.
Router-kaping: in tegenstelling tot wat sommige mensen misschien denken, is de router meestal het eerste aanvalspunt voor veel cybercriminelen. Dit komt omdat veel routers standaard wachtwoorden of bestaande kwetsbaarheden hebben in hun firmware. Hackers kunnen deze gemakkelijk vinden (veel bedrijven nemen niet de tijd om de inloggegevens van hun routers aan te passen). Zodra hackers ingelogd zijn, wijzigen ze de DNS-instellingen en specificeren ze een DNS-server (meestal hun eigen server), zodat de conversie van een webadres naar een IP-adres uitsluitend door hen wordt beheerd. Vanaf hier worden de browserverzoeken van gebruikers doorgestuurd naar kwaadaardige sites. Dit is vooral ernstig omdat niet alleen maar één gebruiker treft, maar alle gebruikers die op de geïnfecteerde router zijn aangesloten.
Rogue-kaping: Deze vorm van cybercriminaliteit is veel ingewikkelder dan lokale kaping omdat het kan niet worden gecontroleerd vanaf het doelapparaat. In plaats daarvan kapen hackers de bestaande naamserver van de ISP om geselecteerde entries te wijzigen. Hierdoor hebben de nietsvermoedende slachtoffers dan schijnbaar toegang tot de juiste DNS-server, maar die in werkelijkheid door de hackers is geïnfiltreerd. De cybercriminelen wijzigen vervolgens de DNS-records om de DNS-query's van de gebruiker om te leiden naar een kwaadaardige website. Omdat ISP's hogere cyberbeveiligingsnormen hebben, is deze aanval veel zeldzamer en moeilijker uit te voeren. Wanneer deze aanval toch plaatsvindt, treft dit mogelijk een groot aantal gebruikers, omdat iedereen die hun query's via deze server oplost, een slachtoffer kan zijn.
Man-in-the-middle-aanvallen: dit type aanval richt zich op het onderscheppen van communicatie tussen jou en het DNS. Met behulp van gespecialiseerde tools onderbreekt de hacker de communicatie tussen een client en de server vanwege het gebrek aan versleuteling in veel DNS-verzoeken. De verzoekende gebruikers krijgen dan een ander IP-adres als bestemming, dat doorverwijst naar een kwaadaardige website. Dit kan ook worden gebruikt als een soort DNS-cachevergiftigingsaanval op zowel jouw lokale apparaat als op de DNS-server zelf. Het resultaat is vrijwel hetzelfde als in het bovenstaande geval.
DNS-kaping detecteren
Gelukkig zijn er een aantal verschillende en eenvoudige manieren om te controleren of je DNS is gehackt. Ten eerste is het belangrijk om te weten dat als sommige van de websites die je regelmatig gebruikt consequent langzamer laden dan normaal, of als je meer willekeurige pop-upadvertenties ontvangt dan normaal (meestal vertellen deze meldingen dat je computer "geïnfecteerd" is), dat je DNS dan mogelijk gehackt is. Met alleen deze symptomen is het echter onmogelijk om het zeker te weten. Hier geven we daarom een aantal praktische tests die je kunt doen:
Voer een "ping-opdracht"-test uit
Een ping-opdracht wordt in werkelijkheid gebruikt om te zien of een IP-adres daadwerkelijk bestaat. Als je browser een niet-bestaand IP-adres 'pingt' en het nog steeds wordt opgelost, dan is de kans groot dat je DNS is gehackt. Dit kan zowel op Mac als op Windows worden gedaan. Voor Mac-computer doe je het volgende:
Open het toestel en voer de volgende opdracht in:
Ping kaspersky123456.com
als er staat "cannot resolve", dan is je DNS in orde.
Als je een Windows-computer gebruikt, doe dan het volgende:
Open het opdrachtvenster en voer het volgende in:
ping kaspersky123456.com
als er staat "cannot resolve", dan is je DNS in orde.
Controleer je router of gebruik een "router checker"
Deze volgende test wordt door veel online sites aangeboden. Digitale routercontroleservices controleren je systeem met een betrouwbare DNS-resolver en om te zien of je een geautoriseerde DNS-server gebruikt. Je kunt ook online naar de beheerderspagina van je router gaan en daar de DNS-instellingen controleren.
Gebruik WholsMyDNS.com
Deze online service toont je de DNS-servers die je gebruikt en het bedrijf dat er eigenaar van is. Over het algemeen gebruikt je browser het IP-adres van de DNS-servers die door je ISP verstrekt zijn. Als je de bedrijfsnaam niet herkent, dan is je DNS mogelijk gekaapt.
Als je weet dat je DNS-servers gehackt worden of als dit al eerder is gebeurd, dan raden we je aan een alternatieve openbare DNS-service te gebruiken, zoals de openbare DNS-servers van Google.
DNS-kaping voorkomen?
Of het nu gaat om lokale, router- of malafide DNS-kaping, het is altijd beter om in de eerste plaats het hacken te voorkomen. Gelukkig zijn er een aantal maatregelen die je kunt nemen om je DNS-beveiliging en algehele gegevensbeveiliging te versterken.
Klik nooit op een verdachte of onbekende link: dit geldt ook voor links in e-mails, tekstberichten . Vergeet niet dat tools die URL's verkorten gevaarlijke linkbestemmingen verder kunnen maskeren. Vermijd daarom zoveel mogelijk het gebruik hiervan. Hoewel het tijdrovend kan zijn, moet je er altijd voor kiezen om handmatig een URL in je browser in te voeren (maar alleen nadat je hebt bevestigd dat deze legitiem is).
Gebruik erkende antivirussoftware: je scant je computer altijd best regelmatig op malware en werkt je software wanneer dit wordt voorgesteld. De beveiligingssoftware van je systeem helpt je om eventuele resulterende infecties van een DNS-kaping te ontdekken en te verwijderen, vooral als je tijdens een lokale kaping bent geïnfecteerd door Trojaanse malware. Aangezien kwaadaardige websites alle soorten malware en adware-programma's kunnen leveren, moet je consequent scannen op virussen, spyware en andere verborgen problemen.
Gebruik een virtual private network (VPN): een VPN zorgt voor een gecodeerde digitale tunnel voor al je websitevragen en verkeer. De meeste bekende VPN's gebruiken privé-DNS-servers die uitsluitend end-to-end gecodeerde verzoeken gebruiken om je lokale machine en hun DNS-servers te beschermen. Het resultaat zorgt voor servers die verzoeken aannemen die niet kunnen worden onderbroken, waardoor de kans op een man-in-the-middle DNS-kaping radicaal wordt verminderd.
Wijzig het wachtwoord (en de gebruikersnaam) van je router: dit lijkt een relatief eenvoudige en voor de hand liggende oplossing, maar toch nemen veel gebruikers deze voorzorgsmaatregel niet. Zoals we eerder vermeldden, is het heel gemakkelijk om de standaard inloggegevens van een router te kraken omdat ze zo zelden worden gewijzigd. Bij het aanmaken van een nieuw wachtwoord, raden we altijd aan om een "sterk" wachtwoord te gebruiken (ongeveer 10-12 tekens lang, met een combinatie van speciale tekens, cijfers, hoofdletters en kleine letters).
Let op: als je op een website bent die je niet kent en die je verschillende pop-ups, bestemmingspagina's en tabbladen toont die je nog nooit eerder hebt gezien, verlaat deze pagina dan onmiddellijk. De eerste stap naar een betere cyberbeveiliging is het herkennen van de digitale waarschuwingssignalen.
Als je echter de eigenaar van een website bent, zijn er een paar verschillende manieren om te voorkomen dat je DNS wordt gekaapt.
Beperkt de toegang tot het DNS: door de toegang tot je DNS-instellingen te beperken tot slechts enkele leden van je IT-team, worden eventuele opportunistische cybercriminelen tegengehouden die misbruik maken van je teamleden. Zorg er ook voor dat de mensen die je toegang geeft tweefactorauthenticatie gebruiken voor het DNS-registrar.
Schakel client lock inschakelen: er bestaan DNS-registrars die "client locking" ondersteunen, om wijzigingen in de DNS-records zonder goedkeuring te voorkomen. We raden aan dit in te schakelen waar mogelijk.
Gebruik een registrar die ondersteuning biedt voor DNSSEC: de Domain Name System Security Extensions zijn een soort verificatielabel om te helpen een DNS-lookup authentiek te houden. Zo wordt het moeilijker voor hackers om de verzoeken van jouw DNS te onderscheppen.
Maak jezelf niet kwetsbaar voor DNS-kaping en andere vormen van malware-aanvallen. Kaspersky-beveiligingsoplossingen stellen je in staat om je online activiteiten veilig en privé te houden op meerdere apparaten. Lees nu meer.
Veelgestelde vragen over DNS-kaping
Wat is DNS-kaping?
Kaping van het Domain Name System, ook bekend als een DNS-omleidingsaanval, komt voor wanneer de DNS-query's die vanuit de browser van een slachtoffer worden verzonden worden onderschept en onjuist opgelost, waardoor de gebruiker wordt omgeleid naar een kwaadaardige website. Het DNS kan lokaal worden gekaapt met malware, via de router, doro onderschepping of via de naamserver.
Hoe werkt DNS-kaping?
DNS-kaping werkt door het communicatiepunt tussen je browser die een DNS-verzoek verzendt en het antwoord van de naamserver aan te vallen, omdat deze vaak niet gecodeerd is. Bij deze onderschepping kan een hacker je omleiden naar een van hun kwaadaardige websites voor afpersing.
Hoe kan ik een DNS-kaping stoppen?
Er bestaan een aantal manieren om DNS-kaping te stoppen en voorkomen. Voor individuele gebruikers mogen ze niet op verdachte links klikken of domeinen met veel pop-ups bezoeken. Ze moeten goede antivirussoftware gebruiken, de gebruikersnaam en het wachtwoord van de router wijzigen en toegang krijgen tot het internet met behulp van een VPN.
Gerelateerde producten:
Kaspersky Security for Small Businesses
Kaspersky Security for Medium Businesses
Gerelateerde artikelen en links:
Mac vs. PC Computer beveiligingstips