DNS staat voor "domain name system" (domeinnaamsysteem) en kan omschreven worden als de index voor het internet. Gebruikers kunnen er toegang mee krijgen tot informatie door een domeinnaam (zoals kaspersky.com) te vertalen naar het bijbehorende IP-adres dat een browser nodig heeft om internetbronnen te laden (bijvoorbeeld artikels zoals dit). Als systeem wordt de DNS gebruikt om websites over de hele wereld te volgen, catalogiseren en reguleren.
Voor een meer gedetailleerd beeld van het DNS moeten we kijken hoe het werkt. Het is echter belangrijk om eerst de gebruikte termen te verduidelijken:
Een internetprotocol (IP)-adres is het nummer dat aan elke unieke computer en server is toegewezen. Deze ID's worden door computers gebruikt om elkaar te vinden en met elkaar te communiceren.
Een domein (of domeinnaam) is een tekstnaam die mensen gebruiken om specifieke websites en hun servers te onthouden, te identificeren en er verbinding mee te maken. Een domein zoals "www.kaspersky.com" wordt bijvoorbeeld gebruikt als een eenvoudige manier om de werkelijke doelserver-ID te begrijpen, d.w.z. een IP-adres.
Domeinnaamsysteemservers (DNS-servers of DNS-nameservers) zijn een verzameling van vier servertypen die het "DNS lookup"-proces regelen. Ze omvatten de resolving name server, root name servers, top-level domain (TLD) nameservers en authoritative nameservers. Laten we de details van deze servers wat nader bekijken om ze beter te begrijpen:
Nu we de DNS-definitie kennen en een algemeen begrip hebben van het DNS en de servers ervan, kunnen we onderzoeken hoe het juist werkt.
Wanneer je naar een website zoekt via een domeinnaam in je browser, start je een proces dat 'lookup' wordt genoemd. De volledige lookup heeft 6 fasen:
Het DNS-lookup-proces is het essentiële raamwerk dat door het hele internet wordt gebruikt. Helaas kunnen criminelen kwetsbaarheden in DNS misbruiken, wat betekent dat je je bewust moet zijn van mogelijke oplichting via omleidingen, vaak ook 'spoofing' en 'vergiftiging' genoemd. Om je te helpen deze bedreigingen te voorkomen, leggen we uit wat DNS-spoofing en DNS-vergiftiging is en hoe het werk.
Vergiftiging en spoofing van Domain Name System (DNS) zijn cyberaanvallen die misbruik maken van de kwetsbaarheden van de DNS-server om verkeer weg te leiden van legitieme servers naar neppe servers. Als je eenmaal op een frauduleuze pagina bent terechtgekomen, vraag je je misschien af hoe je het kunt oplossen. Jij bent nochtans de enige die dat kan. Je moet precies weten hoe het werkt om jezelf te beschermen.
DNS-spoofing en ook DNS-cachevergiftiging behoren tot de meer misleidende cyberdreigingen. Als je niet begrijpt hoe het internet je verbindt met websites, kun je worden misleid door te denken dat de website zelf is gehackt. In sommige gevallen is het gewoon jouw apparaat. Erger nog, programma's voor cyberbeveiliging kunnen slechts enkele dreigingen verwant met DNS-spoofing tegenhouden.
Wat betreft DNS zijn de meest voorkomende bedreigingen tweeledig:
Dit zijn enkele van de meest voorkomende methoden voor DNS-spoofing:
Man-in-the-middle-aanval: Hierbij stapt een aanvaller tussen jouw webbrowser en de DNS-server. Er wordt een tool gebruikt voor gelijktijdige cachevergiftiging op je lokale apparaat en serververgiftiging op de DNS-server. Dit zorgt voor een omleiding naar een schadelijke site die wordt gehost op de lokale server van de aanvaller zelf.
DNS server hijacks: De crimineel herconfigureert de server om alle verzoekende gebruikers om te leiden naar de kwaadaardige website. Zodra een frauduleuze DNS entry op de DNS-server wordt geïnjecteerd, zal elk IP-verzoek voor het vervalste domein resulteren in de nepsite.
DNS-cachevergiftiging via spam:de code voor vergiftiging van DNS-caches wordt vaak aangetroffen in URL's die worden verzonden via spam-e-mails. Deze e-mails zijn bedoeld om gebruikers bang te maken, zodat ze op de meegestuurde URL klikken, waarna hun computer wordt geïnfecteerd. Ook banners en afbeeldingen, zowel in e-mails als op onbetrouwbare websites, kunnen gebruikers doorverwijzen naar dergelijke code. Je vergiftigde computer voert je naar nepwebsites die echte websites nabootsen. Hier worden de echte problemen op je apparaten gezet.
Hier zijn enkele veelvoorkomende risico's van DNS-vergiftiging en -spoofing:
DNS-spoofing zorgt voor verschillende risico's die allemaal je apparaten en persoonlijke gegevens in gevaar brengen.
Gegevensdiefstal kan bijzonder lucratief zijn voor DNS-spoofaanvallers. Websites van banken en populaire webwinkels zijn gemakkelijke doelwitten, waardoor wachtwoorden, creditcardgegevens of persoonlijke gegevens kunnen worden gestolen. De omleidingen gaan naar phishingwebsites die zijn ontworpen om je informatie te verzamelen.
Malware-infectie is nog een andere veelvoorkomende bedreiging met DNS-spoofing. Wanneer een spoof je omleidt, kan de bestemming uiteindelijk een site zijn die besmet is met kwaadaardige downloads. Driveby-downloads zijn een eenvoudige manier om de infectie van je systeem te automatiseren. Als je geen internetbeveiliging gebruikt, word je blootgesteld aan risico's zoals spyware, keyloggers of wormen.
Opschorting van beveiligingsupdates kunnen het gevolg zijn van een DNS-spoof. Als de vervalste sites ook providers van internetbeveiliging omvatten, worden er geen legitieme beveiligingsupdates uitgevoerd. Als gevolg hiervan kan je computer worden blootgesteld aan extra bedreigingen zoals virussen of trojans.
Censuur is een risico dat in sommige delen van de wereld eigenlijk de normaalste zaak is. China gebruikt bijvoorbeeld wijzigingen in het DNS om te controleren dat alleen goedgekeurde websites worden bezocht in het land. Deze blokkering op nationaal niveau, genaamd de "Great Firewall", is een voorbeeld van hoe krachtig DNS-spoofing kan zijn.
Vooral het verwijderen van DNS-cachevergifitiging kan moeilijk zijn. Aangezien het opschonen van een geïnfecteerde server het probleem niet verwijdert van een desktop of mobiel apparaat, zal het apparaat terugkeren naar de vervalste site. Bovendien worden schone desktops die verbinding maken met een geïnfecteerde server opnieuw aangetast.
De gebruiker zelf heeft maar weinig beveiligingen om DNS-spoofing te voorkomen. Website-eigenaren en serverproviders hebben iets meer vermogen om zichzelf en hun gebruikers te beschermen. Beide partijen moeten proberen spoofs te vermijden om iedereen veilig te houden.
Ga als volgt te werk om deze aanvallen voor website-eigenaren en DNS-serviceproviders te voorkomen:
Ga als volgt te werk om deze bedreigingen voor eindpuntgebruikers te voorkomen:
Als website-eigenaar of DNS-serverprovider heb je een grote verantwoordelijkheid om gebruikers te verdedigen. Je kunt verschillende beveiligingstools en protocollen implementeren om bedreigingen buiten te houden. Gebruik onder andere de volgende hulpmiddelen:
Gebruikers zijn bijzonder kwetsbaar voor dit soort bedreigingen. Om te voorkomen dat je het slachtoffer wordt van een DNS-vergiftigingsaanval, moet je deze eenvoudige tips volgen:
Maak jezelf niet kwetsbaar voor DNS-spoofing en malware-aanvallen. Bescherm jezelf vandaag met Kaspersky Home Security-producten.
Gerelateerde artikelen en links:
Gerelateerde producten: