Mikä on DNS-kaappaus?
DNS-järjestelmän (Domain Name System) kaappaus on vakava uhka järjestelmällesi, ja sillä voi olla erittäin kalliita seurauksia. Koska hyökkäys mahdollistaa sen, että pahantahtoinen kolmas osapuoli voi ottaa haltuunsa DNS-asetukset ja ohjata käyttäjiä vilpillisille verkkosivustoille, sillä voi olla vaikutuksia useisiin eri käyttäjiin. DNS-kaappauksen ymmärtämiseksi on tärkeää saada yleiskäsitys siitä, mikä DNS on ja mitä se tekee.
Lyhyesti sanottuna DNS:ää käytetään verkkosivustojen seurantaan, luettelointiin ja sääntelyyn kaikkialla maailmassa. Sen avulla käyttäjät voivat käyttää tietoja kääntämällä toimialuenimen (kuten kaspersky.com) IP-osoitteeksi, jota käyttäjän selain tarvitsee
internet-resurssien (kuten verkkosivujen tai blogiartikkelien) lataamiseen. Jos haluat syvällisemmän katsauksen DNS:n toimintaan, lue artikkeli DNS-huijauksista ja välimuistin myrkyttämisestä.
Nyt
kun sinulla on parempi käsitys DNS:stä ja sen tarkoituksesta, tutkitaan DNS-kaappausta tarkemmin.
- Mikä on DNS-kaappaus?
- Miten DNS-kaappaus toimii?
- Miten havaita DNS-kaappaus?
- Miten DNS-kaappaus estetään?
- DNS-kaappauksen UKK
Mikä on DNS-kaappaus?
Verkkotunnusjärjestelmän kaappaus, joka tunnetaan myös nimellä DNS-uudelleenohjaushyökkäys, tarkoittaa sitä, että uhrin selaimen lähettämät DNS-kyselyt ratkaistaan virheellisesti, jolloin käyttäjä ohjataan haitalliselle verkkosivustolle.
Jotkut DNS-huijaushyökkäykset, kuten DNS-välimuistin myrkytys (jossa järjestelmäsi kirjaa petollisen IP-osoitteen paikalliseen välimuistiin), keskittyvät DNS-tietueiden muuttamiseen. DNS-kaappauksessa sen sijaan itse DNS-asetuksia muutetaan asentamalla usein haittaohjelmia uhrin tietokoneisiin. Näin hakkeri voi ottaa haltuunsa reitittimesi, siepata DNS-signaaleja tai yksinkertaisesti murtautua DNS-viestintään. DNS-kaappaus on yleensä yksi tuhoisimmista laajempaan verkkotunnusjärjestelmään kohdistuvista hyökkäyksistä.
Se on merkittävä ongelma sekä yksityisille käyttäjille että yrityksille. Yksittäisen käyttäjän tapauksessa kaappaajat voivat toteuttaa verkkourkintahuijauksen (jossa uhreille näytetään väärennettyjä versioita laillisista verkkosivustoista, joilla varastetaan käyttäjätietoja, kuten salasanoja, kirjautumistietoja ja luottokorttitietoja). Jos kyseessä on kuitenkin kuluttajille suunnattu verkkosivu (joka kuuluu esimerkiksi yritykselle), verkkorikolliset voivat ohjata yrityksesi verkkosivujen kävijät luomilleen petollisille sivuille. Hakkerin rakentamia verkkosivuja voidaan sitten käyttää vierailijoiden kirjautumistietojen ja luottamuksellisten henkilötietojen varastamiseen. Näihin tietoihin voivat lukeutua esimerkiksi yrityksen sisäiseen toimintaan liittyvät työntekijätiedot tai jopa arkaluonteiset taloudelliset tiedot. Hyökkäyksen seurauksena kaappaajat voivat jopa kerätä tietoja virallisista saapuvista sähköposteista. Kaiken kaikkiaan DNS-kaappaus voi olla kallis hyökkäys tietoja ja yksityisyyttä vastaan.
Mielenkiintoista on, että monet tunnetut Internet-palveluntarjoajat (ISP) ja hallitukset käyttävät eräänlaista DNS-kaappausta ottaakseen haltuunsa käyttäjiensä DNS-pyynnöt. Internet-palveluntarjoajat keräävät näin tilastoja ja tarjoavat mainoksia, kun käyttäjät vierailevat tuntemattomilla toimialueilla. Ne tekevät tämän ohjaamalla sinut heidän verkkosivustolleen, jossa heidän mainoksensa ovat, sen sijaan että antaisivat sinulle virheilmoituksen. Hallitukset käyttävät DNS-kaappausta sensuuriin ja käyttäjiensä turvalliseen ohjaamiseen hallituksen valtuuttamille verkkotunnuksille tai -sivuille.
Miten DNS-kaappaus toimii?
Kun kirjoitat verkkosivun osoitteen selaimeesi, se kerää verkkosivun tiedot selaimen paikallisesta välimuistista (jos olet käynyt sivustolla hiljattain) tai lähettää DNS-kyselyn nimipalvelimelle (jonka yleensä tarjoaa hyvämaineinen Internet-palveluntarjoaja). DNS-pyyntöä lähettävän selaimen ja nimipalvelimen vastauksen välinen yhteys on haavoittuvin hyökkäyksille, koska sitä ei ole salattu. Tässä vaiheessa hakkerit sieppaavat kyselyn ja ohjaavat käyttäjän jollekin haitallisista verkkosivuistaan kiristystä varten. Verkkorikolliset käyttävät nykyään neljää erilaista DNS-kaappaustapaa, jotka ovat paikallinen, reitittimen, nimipalvelimen ja väliintulokaappaus.
Paikallinen kaappaus: Hakkeri asentaa troijalaisen haittaohjelman järjestelmääsi hyökätäkseen paikallisiin DNS-asetuksiin. Hyökkäyksen jälkeen hakkerit voivat muuttaa paikallisia asetuksia osoittamaan suoraan omiin DNS-palvelimiinsa (esimerkiksi oletuspalvelimen sijaan). Sieltä kaikki uhrin selaimen tekemät pyynnöt lähetetään hakkerin palvelimille, ja he voivat vastata mitä haluavat. Ne voivat myös yleensä ohjata käyttäjän muille haitallisille verkkopalvelimille.
Reitittimen kaappaus: Toisin kuin luullaan, reititin on yleensä ensimmäinen hyökkäyspiste, johon hyökkääjät kohdistavat kaappauksen. Tämä johtuu siitä, että monissa reitittimissä on käytössä oletussalasanat tai olemassa olevia laiteohjelmiston haavoittuvuuksia, jotka hakkerit voivat helposti löytää (monet yritykset eivät käytä aikaa reitittimiensä kirjautumistietojen yksilöimiseen). Kirjauduttuaan sisään hakkerit muuttavat DNS-asetuksia ja määrittelevät haluamansa DNS-palvelimen (joka on yleensä heidän omistuksessaan), jolloin verkko-osoitteen muuntaminen IP-osoitteeksi on yksinomaan heidän hallinnassaan. Sitten käyttäjien selainpyynnöt ohjataan haitallisille sivustoille. Tämä on erityisen vakavaa, koska se ei vaikuta vain yhteen käyttäjään vaan kaikkiin käyttäjiin, jotka ovat yhteydessä saastuneeseen reitittimeen.
Nimipalvelimen kaappaus: Tämä on paikallista kaappausta paljon monimutkaisempi, koska sitä ei voi hallita kohdelaitteesta käsin. Sen sijaan hakkerit kaappaavat palveluntarjoajan olemassa olevan nimipalvelimen muuttaakseen tiettyjä tietoja. Tämän seurauksena pahaa aavistamattomat uhrit vaikuttavat käyttävän oikeaa DNS-palvelinta, johon hakkerit todellisuudessa ovat tunkeutuneet. Sen jälkeen verkkorikolliset muuttavat DNS-tietueita ja ohjaavat käyttäjän DNS-pyynnöt haitalliselle verkkosivustolle. Koska Internet-palveluntarjoajilla on käytössään tiukemmat kyberturvallisuusstandardit, nimipalvelimen kaappaus on paljon harvinaisempi ja vaikeampi toteuttaa. Tällainen hyökkäys voi vahingoittaa valtavaa määrää käyttäjiä, koska jokainen, joka ratkaisee kyselyt tämän palvelimen kautta, voi joutua uhriksi.
Väliintulohyökkäykset: Tämäntyyppisissä hyökkäyksissä keskitytään käyttäjän ja DNS:n välisen viestinnän sieppaamiseen. Erikoistyökaluja käyttäen hakkeri keskeyttää asiakkaan ja palvelimen välisen viestinnän, koska monissa DNS-pyynnöissä ei ole salausta. Pyynnön lähettäneille käyttäjille annetaan sitten toinen kohde-IP-osoite, joka osoittaa haitalliselle verkkosivustolle. Tätä voidaan käyttää myös eräänlaisena DNS-välimuistin myrkytyshyökkäyksenä sekä paikallisella laitteella että itse DNS-palvelimella. Tulos on pitkälti sama kuin edellä mainittu.
Miten havaita DNS-kaappaus?
Onneksi on olemassa useita erilaisia ja yksinkertaisia tapoja tarkistaa, onko DNS-järjestelmäsi hakkeroitu. Ensinnäkin on tärkeää tietää, että jos jotkin säännöllisesti käyttämäsi verkkosivustot latautuvat toistuvasti tavallista hitaammin, tai jos saat enemmän satunnaisia ponnahdusikkunamainoksia (jotka yleensä kertovat, että tietokoneesi on "saanut tartunnan"), DNS-järjestelmäsi on ehkä hakkeroitu. Pelkästään näiden oireiden perusteella on kuitenkin mahdotonta olla varma. Tässä on joukko käytännön testejä, joita voit tehdä koneellasi:
Tee ping-komentotesti
Ping-komentoa käytetään lähinnä sen selvittämiseen, onko IP-osoite todella olemassa. Jos selaimesi löytää IP-osoitteen, jota ei ole olemassa ja silti tunnistaa sen, on hyvin todennäköistä, että DNS:ääsi on hakkeroitu. Testi voidaan tehdä Mac- ja Windows-koneissa. Toimi Mac-tietokoneella seuraavasti:
Avaa pääte ja kirjoita seuraava komento:
Ping kaspersky123456.com
jos vastaus on "ei voi ratkaista", DNS on kunnossa.
Jos käytät Windows-tietokonetta, toimi seuraavasti:
Avaa komentorivi ja kirjoita seuraava komento:
ping kaspersky123456.com
jos vastaus on "ei voi ratkaista", DNS on kunnossa.
Tarkista reitittimesi tai käytä "reitittimen tarkistusohjelmaa"
Tätä seuraavaa testiä tarjoavat monet verkkosivustot. Digitaaliset reitittimen tarkistuspalvelut tarkistavat järjestelmäsi luotettavan DNS-resolverin avulla ja varmistavat, käytätkö valtuutettua DNS-palvelinta. Vaihtoehtoisesti voit mennä reitittimesi hallintasivulle verkossa ja tarkistaa DNS-asetukset sieltä.
Käytä sivustoa WholsMyDNS.com
Tämä verkkopalvelu näyttää käyttämäsi DNS-palvelimet ja ne omistavat yritykset. Yleensä selaimesi käyttää Internet-palveluntarjoajasi tarjoamien DNS-palvelimien IP-osoitetta. Jos yrityksen nimi ei tunnu tutulta, DNS on ehkä kaapattu.
Jos tiedät, että DNS-palvelimesi on hakkeroitu tai näin on tapahtunut aiemmin, suosittelemme käyttämään vaihtoehtoista julkista DNS-palvelua, kuten Googlen julkisia DNS-palvelimia.
Miten DNS-kaappaus estetään?
Olipa kyse sitten paikallisesta, reitittimen tai nimipalvelimen DNS-kaappauksesta, on aina paras pyrkiä välttämään hyökkäyksen kohteeksi joutuminen. Onneksi voit ryhtyä useisiin toimenpiteisiin, jotka vahvistavat DNS-turvaasi ja koko tietoturvaasi.
Älä koskaan napsauta epäilyttävää tai tuntematonta linkkiä: Tämä koskee myös sähköposteissa, tekstiviesteissä tai sosiaalisessa mediassa olevia linkkejä. Muista, että URL-osoitteita lyhentävät työkalut voivat peittää vaarallisia linkkikohteita entisestään, joten vältä niiden käyttöä niin paljon kuin mahdollista. Vaikka se saattaa olla aikaa vievää, sinun kannattaa aina kirjoittaa URL-osoite käsin selaimeesi (mutta vasta sen jälkeen, kun olet varmistanut, että osoite on laillinen).
Käytä luotettavaa virustorjuntaohjelmistoa: On aina suositeltavaa tarkistaa tietokoneesi säännöllisesti haittaohjelmien varalta ja päivittää ohjelmisto pyydettäessä. Järjestelmäsi tietoturvaohjelmisto auttaa sinua havaitsemaan ja poistamaan DNS-kaappauksen aiheuttamat tartunnat, etenkin jos olet saanut troijalaishaittaohjelman tartunnan paikallisen kaappauksen aikana. Koska haitalliset verkkosivustot voivat levittää kaikenlaisia haitta- ja mainosohjelmia, sinun pitäisi tarkistaa järjestelmäsi jatkuvasti virusten, vakoiluohjelmien ja muiden piilotettujen ongelmien varalta.
Käytä virtuaalista yksityisverkkoa (VPN): VPN tarjoaa sinulle salatun digitaalisen tunnelin kaikkia verkkosivustokyselyjäsi ja -liikennettäsi varten. Useimmat tunnetut VPN:t käyttävät yksityisiä DNS-palvelimia, jotka käyttävät yksinomaan päästä päähän salattuja pyyntöjä suojatakseen paikallisen koneesi ja niiden DNS-palvelimet. Tuloksena saat palvelimet, jotka ottavat vastaan pyyntöjä, joita ei voida keskeyttää, mikä vähentää radikaalisti väliintulo-DNS-kaappauksen todennäköisyyttä.
Vaihda reitittimen salasana (ja käyttäjänimi): Tämä vaikuttaa suhteellisen yksinkertaiselta ja itsestään selvältä, mutta monet käyttäjät eivät noudata tätä varotoimenpidettä. Kuten aiemmin mainitsimme, reitittimen oletuskirjautumistiedot on erittäin helppo murtaa, koska niitä muutetaan niin harvoin. Uutta salasanaa luodessasi suosittelemme aina käyttämään ns. "vahvaa" salasanaa (noin 10–12 merkkiä, joka sisältää erikoismerkkejä, numeroita, isoja ja pieniä kirjaimia).
Ole tarkkana: Jos olet vieraalla verkkosivustolla, joka tarjoaa sinulle erilaisia ponnahdusikkunoita, aloitussivuja ja välilehtiä, joita et ole koskaan ennen nähnyt, sinun on poistuttava sivulta välittömästi. Digitaalisten varoitusmerkkien tiedostaminen on ensimmäinen askel kohti parempaa kyberturvallisuutta.
Jos kuitenkin olet verkkosivuston omistaja, on olemassa muutamia eri tapoja estää DNS:n kaappaaminen.
Rajoita pääsyä DNS:ään: DNS-asetuksiin pääsyn rajoittaminen vain muutamalle IT-tiimisi jäsenelle toimii esteenä mahdollisille verkkorikollisille, jotka voivat käyttää tiimisi jäseniä hyväkseen. Varmista myös, että muutamat valitut käyttäjät käyttävät kaksivaiheista todennusta aina, kun he käyttävät DNS-rekisteröintipalvelua.
Ota asiakaslukitus käyttöön: Jotkut DNS-rekisteröintipalvelut tukevat asiakaslukitusta, joka estää DNS-tietueiden muutokset ilman hyväksyntää. Suosittelemme, että otat sen käyttöön, kun mahdollista.
Käytä rekisteröintipalvelua, joka tukee DNSSECiä: Verkkotunnusjärjestelmän suojauslaajennukset (Domain Name System Security Extensions) on eräänlainen "oikeaksi todennettu" -merkki, joka auttaa pitämään DNS-haun autenttisena. Näin ollen hakkerien on vaikeampi siepata DNS-pyyntöjäsi.
Älä aseta itseäsi alttiiksi DNS-kaappauksille ja muille haittaohjelmahyökkäyksille. Kaspersky tietoturvaratkaisujen avulla voit pitää verkkotoimintasi turvallisena ja yksityisenä useilla eri laitteilla. Lue lisää jo tänään.
DNS-kaappauksen UKK
Mikä on DNS-kaappaus?
Verkkotunnusjärjestelmän kaappaus, joka tunnetaan myös nimellä DNS-uudelleenohjaushyökkäys, tarkoittaa sitä, että uhrin selaimen lähettämät DNS-kyselyt siepataan ja ratkaistaan virheellisesti, jolloin käyttäjä ohjataan haitalliselle verkkosivustolle. DNS voidaan kaapata paikallisesti haittaohjelmilla, reitittimen kautta, sieppaamalla tai nimipalvelimen kautta.
Miten DNS-kaappaus toimii?
DNS-kaappauksessa hyökätään DNS-pyyntöä lähettävän selaimen ja nimipalvelimen vastauksen väliseen tietoliikennepisteeseen, koska sitä ei useinkaan ole salattu. Tässä vaiheessa hakkeri voi ohjata sinut jollekin haitallisista verkkosivuistaan kiristystä varten.
Miten voin estää DNS-kaappauksen?
DNS-kaappaukset voidaan pysäyttää ja estää monin eri tavoin. Yksittäisten käyttäjien ei pitäisi klikata epäilyttäviä linkkejä tai vierailla toimialueilla, joilla on paljon ponnahdusikkunoita. Heidän tulisi käyttää laadukasta virustorjuntaohjelmistoa, vaihtaa reitittimen käyttäjätunnus ja salasana, sekä käyttää VPN:ää verkon selailuun.
Aiheeseen liittyvät tuotteet:
Kasperskyn suojausratkaisut pienyrityksille
Kasperskyn suojausratkaisut keskisuurille yrityksille
Aiheeseen liittyvät artikkelit ja linkit:
Mikä on DNS-kaappaus?
Kaspersky
