Hopp til hovedinnholdet

Hva er DNS kapring?

Et sett med DNS-servere blir kapret.

Domain Name System (DNS)-kapring er en alvorlig trussel mot systemet ditt og kan ha svært kostbare konsekvenser. Ettersom angrepet gjør det mulig for en ondsinnet tredjepart å overta DNS-innstillingene og omdirigere brukere til falske nettsteder, kan dette påvirke en rekke forskjellige brukere. For å forstå DNS-kapring fullt ut, er det viktig å ha en generell ide om hva DNS er og hva den gjør.

Kort fortalt brukes DNS til å spore, katalogisere og regulere nettsteder over hele verden. Den lar brukerne få tilgang til informasjon ved å oversette et domenenavn (som k aspersky.com) til IP-adressen som trengs av brukerens nettleser for å laste inn internett-ressurser (som nettsider eller bloggartikler). Hvis du vil ha en mer grundig titt på hvordan DNS fungerer, sjekk ut artikkelen vår om DNS-forfalskning og bufferforgiftning.

Nå har du en bedre ide om hva DNS er og dens formål, la oss videre undersøke DNS-kapring.

  • Hva er DNS-kapring?
  • Hvordan fungerer DNS-kapring?
  • Hvordan oppdage DNS-kapring?
  • Hvordan forhindre DNS-kapring?
  • Vanlige spørsmål om DNS-kapring

Hva er DNS kapring?

Domain Name System-kapring, også kjent som et DNS-omdirigeringsangrep, er der DNS-forespørslene som sendes fra offerets nettleser blir feil løst, og omdirigerer brukeren til et ondsinnet nettsted.

Mens noen DNS-spoofing-angrep, som DNS-bufferforgiftning (der systemet ditt logger den falske IP-adressen i din lokale minnebuffer), er fokusert på å endre DNS-postene, innebærer DNS-kapring å endre selve DNS-innstillingene, ofte ved å installere skadelig programvare på offerets datamaskiner. Dette lar hackeren overta ruterne dine, fange opp DNS-signaler eller ganske enkelt hacke DNS-kommunikasjon. DNS-kapring er vanligvis en av de mer forstyrrende typer angrep på det bredere domenenavn-systemet.

Det er et stort problem for både personlige brukere og bedrifter. Når det gjelder en enkelt bruker, tillater det kaprere å utføre en phishing-svindel (der ofre vises falske versjoner av legitime nettsteder, som stjeler brukerdata, som passord, påloggingsinformasjon og kredittkortinformasjon). Men når det gjelder en forbruker-vendt nettside (som tilhører en bedrift, for eksempel), tillater det nettkriminelle å videresende bedriftens besøkende til falske sider som de har opprettet. Disse hacker-bygde nettsidene brukes igjen til å stjele påloggingsinformasjon og konfidensielle personlige data fra dine brukere. Dette kan omfatte ansattes informasjon som er relevant for den indre driften av virksomheten din eller til og med sensitive økonomiske data. Som et resultat av dette angrepet kan de til og med høste informasjon fra offisielle innkommende e-poster. DNS-kapring kan bli et kostbart angrep på data og personvern.

Interessant nok bruker mange anerkjente ISP-er (Internet Service Providers) og myndigheter en type DNS-kapring for å overta brukernes DNS-forespørsler. ISP-er vil gjøre dette for å samle inn statistikk og gi annonser når brukere besøker ukjente domener. De gjør dette ved å omdirigere deg til nettstedet deres, der annonsene deres er, i stedet for å gi deg en feilmelding. Myndigheter vil bruke DNS-kapring for sensur og for trygt å omdirigere brukerne sine til myndighetsautoriserte nettdomener eller sider.

Hvordan fungerer DNS-kapring?

Når du skriver inn en nettstedsadresse i nettleseren din, vil den samle nettsidens informasjon fra din lokale nettleserbuffer (hvis du nylig besøkte nettstedet), eller det vil sende en DNS-spørring til navneserveren (vanligvis levert av en anerkjent Internett-leverandør). Kommunikasjonspunktet mellom nettleseren din som sender DNS-forespørselen og navneserverens svar er det mest sårbare leddet for angrep fordi det ikke er kryptert. Det er her at hackere fanger opp spørringen og omdirigerer brukeren til et av deres ondsinnede nettsteder for utpressing. Det er fire forskjellige typer DNS-kapring som nettkriminelle bruker i dag: «lokal», «ruter», «rogue» og «mellommann».

Lokal kapring: Det er her en hacker installerer en trojansk programvare på systemet ditt og angriper de lokale DNS-innstillingene. Etter angrepet kan de endre disse lokale innstillingene for å peke direkte til sine egne DNS-servere (for eksempel i stedet for en standard server). Herfra vil alle forespørsler fra offerets nettleser bli sendt til hackerens servere, og de kan returnere hva de vil. De kan også lede deg til andre ondsinnede nettservere generelt.

Ruter-kapring: I motsetning til hva noen kanskje tror, er kapring av ruteren vanligvis det første angrepspunktet for mange nettkriminelle. Dette er fordi mange rutere har standardpassord eller eksisterende fastvare-sårbarheter, som hackere lett kan finne (mange selskaper tar seg ikke tid til å individualisere påloggingsinformasjonen til ruterne). Når hackere er logget inn, endrer de DNS-innstillingene og spesifiserer en foretrukket DNS-server (vanligvis eid av dem), slik at konverteringen av en nettadresse til en IP-adresse styres utelukkende av dem. Herfra blir brukernes nettleserforespørsler videresendt til ondsinnede sider. Dette er spesielt alvorlig da det ikke bare påvirker en bruker, men alle brukerne som er koblet til den infiserte ruteren.

Rogue kapring: Denne typen nettkriminalitet er mye mer komplisert enn lokal kapring fordi den ikke kan kontrolleres fra enheten som er målet. I stedet kaprer hackere ISPs eksisterende navneserver for å endre valgte oppføringer. Som et resultat får de intetanende ofrene tilsynelatende tilgang til riktig DNS-server, som i virkeligheten har blitt infiltrert av hackerne. De nettkriminelle endrer deretter DNS-postene for å omdirigere brukerens DNS-forespørsler til et ondsinnet nettsted. På grunn av ISP-er som vedtar høyere nettsikkerhetsstandarder, er denne type angrep mye sjeldnere og vanskeligere å utføre. Når et slikt angrepet skjer, påvirker det potensielt et stort antall brukere fordi alle som sender forespørslene sine via denne serveren, kan bli et offer.

Mellommann-angrep: denne typen angrep fokuserer på avlytting av kommunikasjon mellom deg og DNS. Ved hjelp av spesialverktøy avbryter hackeren kommunikasjonen mellom en klient og serveren på grunn av mangelen på kryptering i mange DNS-forespørsler. De forespurte brukerne får deretter en annen destinasjons-IP-adresse, som fører til et ondsinnet nettsted. Dette kan også brukes som en type DNS-bufferforgiftningsangrep både på din lokale enhet og på selve DNS-serveren. Resultatet er omtrent det samme som ovenfor.

en skjerm som viser et DNS-angrep som har blitt oppdaget.

Hvordan oppdage DNS-kapring

Heldigvis er det en rekke forskjellige og enkle måter å bekrefte om DNS-en din har blitt hacket. Først og fremst er det viktig å vite at hvis noen av nettstedene du regelmessig bruker, lastes langsommere enn vanlig, eller du mottar mer tilfeldige popup-annonser (vanligvis forteller dette deg at datamaskinen din er “infisert”), kan dette bety at DNS-en har blitt hacket. Men disse symptomene alene gjør det umulig å si noe sikkert. Så her er en rekke praktiske tester du kan gjøre med maskinen din:

Utfør en “ping-kommando” -test

En ping-kommando brukes i hovedsak for å se om en IP-adresse faktisk eksisterer. Hvis nettleseren din pinger en ikke-eksisterende IP-adresse og den fortsatt løses, er det stor sjanse for at DNS-en har blitt hacket. Dette kan gjøres på Mac og Windows. For Mac, ganske enkelt:

Åpne terminalen og skriv inn følgende kommando:

Ping kaspersky123456.com

hvis det står «kan ikke løses», er DNS-en i orden.

Hvis du bruker en Windows-datamaskin, er alt du trenger å gjøre:

Åpne ledeteksten og skriv inn følgende:

ping kaspersky123456.com

hvis det står «kan ikke løses», er DNS-en i orden.

Sjekk ruteren din eller bruk en «ruterkontroll»

Denne neste testen er levert av mange nettsteder. Tjenester for digital ruterkontroll fungerer ved å sjekke systemet ditt med en pålitelig DNS-løser for å se om du bruker en autorisert DNS-server. Alternativt kan du gå til ruterens admin-side på nett og sjekke DNS-innstillingene der.

Bruk WholsMyDNS.com

Denne online-tjenesten viser deg DNS-serverne du bruker og selskapet som eier dem. Generelt vil nettleseren din bruke IP-adressen til DNS-serverne levert av Internett-leverandøren din. Hvis firmanavnet ikke virker kjent, kan DNS-en din ha blitt kapret.

Hvis du er klar over at DNS-serverne dine blir hacket, eller det har skjedd før, anbefaler vi at du bruker en alternativ offentlig DNS-tjeneste, som Googles offentlige DNS-servere.

Hvordan forhindre DNS-kapring?

Enten det er snakk om lokal, ruter eller rogue DNS-kapring, er det alltid bedre å unngå å bli hacket i utgangspunktet. Heldigvis er det en rekke tiltak du kan ta, som vil styrke DNS-sikkerheten din og datasikkerheten som helhet.

Klikk aldri på en mistenkelig eller ukjent lenke: Dette inkluderer lenker i e-post, tekstmeldinger eller sosiale medier. Husk at verktøy som forkorter nettadresser ytterligere kan maskere farlige lenke-destinasjoner, så unngå å bruke disse så mye som mulig. Selv om det kan være tidkrevende, bør du alltid velge å skrive inn en URL manuelt i nettleseren din (men bare etter å ha bekreftet at den er legitim).

Bruk anerkjent antivirusprogramvare: Det er alltid best praksis å regelmessig skanne datamaskinen din for skadelig programvare og oppdatere programvaren når du blir bedt om det. Systemets sikkerhetsprogramvare vil hjelpe deg å avdekke og fjerne eventuelle resulterende infeksjoner fra en DNS-kapring, spesielt hvis du har blitt infisert av trojaner under en lokal kapring. Siden ondsinnede nettsteder kan levere alle typer malware og adware-programmer, bør du skanne etter virus, spionprogrammer og andre skjulte problemer konsekvent.

Bruk et virtuelt privat nettverk (VPN): En VPN gir deg en kryptert digital tunnel for alle nettstedforespørsler og trafikk. De fleste kjente VPN-er bruker private DNS-servere som utelukkende bruker krypterte forespørsler fra ende til ende for å beskytte din lokale maskin og deres DNS-servere. Resultatet gir deg servere som tar forespørsler som ikke kan avbrytes, noe som reduserer sannsynligheten for en mellommann-DNS-kapring radikalt.

Endre ruterens passord (og brukernavn): Dette virker relativt enkelt og åpenbart, men mange brukere tar ikke denne forholdsregelen. Som vi nevnte tidligere, er det veldig enkelt å knekke standard påloggingsdetaljer for en ruter fordi de så sjelden blir endret. Når du oppretter et nytt passord, anbefaler vi alltid å bruke et «sterkt» passord (rundt 10-12 tegn langt, som inneholder en blanding av spesialtegn, tall, store og små bokstaver).

Vær oppmerksom: Hvis du befinner deg på et nettsted du ikke er kjent med, og det gir deg forskjellige popup-vinduer, sider og faner du aldri har sett før, bør du forlate nettstedet umiddelbart. Å være klar over de digitale advarselsskiltene er det første skrittet mot bedre nettsikkerhet.

Men hvis du er en nettstedseier, er det noen forskjellige måter å forhindre at DNS-en din blir kapret.

Begrens tilgangen til DNS: Å begrense tilgangen til DNS-innstillingene dine til bare noen få medlemmer av ditt dedikerte IT-team begrenser potensielle opportunistiske nettkriminelle som utnytter teammedlemmene dine. Sørg også for at de få utvalgte bruker tofaktorautentisering når de får tilgang til DNS-registratoren.

Aktiver klientlås: Det er noen DNS-registratorer som støtter “klientlåsing”, som forhindrer endringer i DNS-postene uten godkjenning. Vi anbefaler at du aktiverer dette når du kan.

Bruk en registrator som støtter DNSSEC: Domain Name System Security Extensions er en slags “verifisert ekte”-etikett, som bidrar til å holde et DNS-oppslag autentisk. Dette resulterer i at det blir vanskeligere for hackere å fange opp forespørslene DNS-en gjør.

Ikke la deg være sårbar for DNS-kapring og andre former for malware-angrep. Kaspersky Security Solutions lar deg holde nettaktiviteten din trygg og privat på tvers av flere enheter. Finn ut mer i dag.

Vanlige spørsmål om DNS-kapring?

Hva er DNS kapring?

Domain Name System-kapring, også kjent som et DNS-omdirigeringsangrep, er der DNS-forespørslene som sendes fra offerets nettleser løses feil, og omdirigerer brukeren til et ondsinnet nettsted. DNS-en kan kapres lokalt med skadelig programvare, via ruteren, gjennom avlytting eller via navneserveren.

Hvordan fungerer DNS-kapring?

DNS-kapring fungerer ved å angripe kommunikasjonspunktet mellom nettleseren din som sender en DNS-forespørsel og navneserverens svar fordi den ofte ikke er kryptert. Ved denne avskjæringen kan en hacker omdirigere deg til et av sine ondsinnede nettsteder for utpressing.

Hvordan kan jeg stoppe en DNS-kapring?

Det er flere måter DNS-kapring kan stoppes og forhindres. For individuelle brukere bør de ikke klikke på mistenkelige lenker eller besøke domener med mange popup-vinduer. De bør bruke en god antivirusprogramvare, endre brukernavnet og passordet til ruteren, og koble til internett ved hjelp av en VPN.

Relaterte produkter:

Kaspersky Security for små bedrifter

Kaspersky Security for mellomstore bedrifter

Kaspersky Enterprise Security

Kaspersky Password Manager

Relaterte artikler og lenker:

Mac vs. Sikkerhetstips for PC-er

Hva er DNS-Spoofing og bufferforgiftning?

Typer og eksempler på skadelig programvare

Hva er DNS kapring?

Trenger du å vite hva et DNS-kapringsangrep er, hvordan du kan oppdage det og forhindre det? Klikk for å finne ut alt du trenger å vite om DNS-kapring.
Kaspersky logo

Relaterte artikler