Cholloventas

A globális DNS-eltérítési fenyegetés

Posted on by admin

mi a globális DNS-eltérítési fenyegetés?

a legnagyobb kiberbiztonsági cégek, köztük a Tripwire, a FireEye és a Mandiant szakértői világszerte riasztóan nagy DNS-eltérítési támadásokról számoltak be. Ezek a támadások kormányzati, távközlési és internetes szervezeteket céloznak meg a Közel-Keleten, Európában, Észak-Afrikában és Észak-Amerikában.

a kutatók nem azonosították nyilvánosan a megcélzott webhelyeket, de elismerték, hogy a veszélyeztetett domainek száma tucatnyi. Ezeket a támadásokat, amelyek legalább 2017 óta történnek, a korábban ellopott hitelesítő adatokkal együtt használják arra, hogy a felhasználókat hamis webhelyekre irányítsák, amelyek célja a bejelentkezési adatok és más érzékeny információk ellopása.

bár senki sem vállalta a felelősséget a támadásokért, sok szakértő úgy véli, hogy a támadások Iránból származnak. A támadók IP-címei közül több Iránhoz vezethető vissza. Bár lehetséges, hogy a támadók hamisítják az iráni IP-ket, hogy eldobják az illatot, úgy tűnik, hogy a támadás célpontjai Iránra is mutatnak. A célpontok között több közel-keleti ország kormányzati oldalai vannak, olyan webhelyek, amelyek olyan adatokat tartalmaznak, amelyeknek nincs pénzügyi értéke, de nagyon értékesek lennének az iráni kormány számára.

hogyan működnek ezek a DNS-eltérítő támadások?

néhány különböző támadási stratégiát hajtanak végre, de a támadások áramlása a következő:

  1. a támadó létrehoz egy hamis webhelyet, amely ugyanúgy néz ki és érzi magát, mint a megcélzott webhely.
  2. a támadó célzott támadást (például lándzsás adathalászatot) használ a bejelentkezési adatok megszerzéséhez a célhely DNS* szolgáltatójának adminisztrációs paneljéhez.
  3. a támadó ezután bemegy a DNS admin panelbe, és megváltoztatja a megcélzott webhely DNS-rekordjait (ezt DNS-eltérítésnek nevezik), így a webhelyet elérni próbáló felhasználók ehelyett a dummy webhelyre kerülnek.
  4. a támadó hamisít egy TLS titkosítási tanúsítványt, amely meggyőzi a felhasználó böngészőjét arról, hogy a hamis webhely jogszerű.
  5. a gyanútlan felhasználók a fertőzött webhely URL-jére lépnek, és átirányítják őket a hamis webhelyre.
  6. ezután a felhasználók megpróbálnak bejelentkezni a dummy webhelyre, és a támadó begyűjti bejelentkezési hitelesítő adataikat.

DNS-eltérítés

*A Domain Name System (DNS) olyan, mint az Internet telefonkönyve. Amikor egy felhasználó beír egy URL-t, like ‘google.com’ a böngészőjükbe, a DNS-kiszolgálók rekordjai, amelyek a felhasználót a Google origin szerverére irányítják. Ha ezeket a DNS-rekordokat meghamisítják, a felhasználók olyan helyre kerülhetnek, ahol nem számítottak rá.

hogyan lehet megakadályozni a DNS-eltérítést?

az egyéni felhasználók nem sokat tehetnek azért, hogy megvédjék magukat a hitelesítő adatok elvesztésétől az ilyen típusú támadások során. Ha a támadó elég alapos a dummy webhely létrehozásakor, akkor még a rendkívül technikai felhasználók számára is nagyon nehéz észrevenni a különbséget.

a támadások enyhítésének egyik módja az lenne, ha a DNS-szolgáltatók szigorítanák a hitelesítést, olyan intézkedéseket hozva, mint például a 2-faktoros hitelesítés megkövetelése, ami drámaian megnehezítené a támadók számára a DNS-adminisztrációs panelek elérését. A böngészők frissíthetik biztonsági szabályaikat is, például megvizsgálhatják a TLS-tanúsítványok forrását annak biztosítása érdekében, hogy azok olyan forrásból származzanak, amely megfelel annak a tartománynak, amelyen használják őket.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.