LOGIN
L'Internet Corporation for Assigned Names and Numbers (ICANN), organizzazione internazionale che gestisce l'infrastruttura DNS (Domain Name System), già da diverso tempo ha lanciato l’allarme sulla crescita esponenziale dei casi di DNS hijacking.
A testimonianza di questo, le aggressioni a molti celebri siti web, manomessi dai criminali informatici in modo da dirottare il traffico di utenti verso server malevoli e rubare i loro dati personali.
Un problema di sicurezza informatica che nel tempo ha portato a grossi problemi per gli internauti che si sono trovati in mezzo a questo “fuoco incrociato”, arrivando a non fidarsi più nemmeno delle pagine ritenute affidabili.
Scopriamo di più sul DNS hijacking e su come difendersi da un eventuale attacco informatico.
Cosa vuol dire DNS hijacking
.jpg)
Credits Shutterstock
In inglese "hijacking" vuol dire letteralmente "dirottamento" e questo già spiega le modalità di azione di cybercriminali.
Questo tipo di attacco riguarda i record DNS presenti nei server del sistema di denominazione dei siti Web che contengono le informazioni che permettono di far corrispondere un determinato indirizzo Web al rispettivo indirizzo IP.
Se i criminali informatici riescono ad accedere a questi record possono alterarli e fare in modo che un certo indirizzo web punti ad un indirizzo IP di un sito che nulla ha a che vedere con esso.
In alternativa si potrebbero creare dei nuovi sottodomini "nascosti" in qualche sito legittimo (previa forzatura dell'accesso alla pagina in questione), sui quali caricare applicazioni malevole per il phishing o diffondere virus e malware.
In questo caso all'ignaro utente il sito fake sembrerebbe tutto assolutamente in regola, perché, conoscendo l'indirizzo del dominio principale, non noterebbe la differenza.
Tipologie di DNS hijacking
Credits Shutterstock
Esistono diversi tipi di DNS hijacking, tra questi:
- Router Hijack dove i malintenzionati digitali attaccano i dispositivi per l’accesso alla rete, sfruttando proprio le credenziali d’accesso al sistema predefinite e manomettere le impostazioni del DNS. Per questo è di fondamentale importanza aggiornare i dispositivi per contenere le vulnerabilità.
- Local Hijack, dove i cyber criminali attaccano direttamente il pc dell’utente installando un malware capace di accedere alle impostazioni DNS del dispositivo e inserire il proprio server DNS.
- Attacchi DNS man in the middle (MITM), dove vengono intercettate le comunicazioni tra utente e server DNS per cambiare l’indirizzo IP di destinazione verso pagine web dannose.
- Rogue Hijack è un attacco che non colpisce direttamente il dispositivo ma un name server. In questo caso i cybercriminali possono violare direttamente il server DNS e reindirizzare le richieste degli utenti verso siti malevoli.
Il boom del DNS hijacking
Credits Shutterstock
L'attacco DNS hijacking che ha fatto più scalpore è stato chiamato "Sea Turtle": dal 2017 al marzo 2019 ha portato alla violazione dei record DNS di almeno 40 enti pubblici in 13 Paesi diversi.
Tra di essi anche Ministeri, organizzazioni militari e società energetiche.
Uno degli esempi più eclatanti è quello di Check Point e CyberInt, due società specializzate in sicurezza informatica, che si sono unite per dimostrare come sia semplice attaccare i record DNS di siti commerciali famosi.
Hanno scelto EA Origin e creare uno specifico sottodominio malevolo per poi mandare un messaggio WhatsApp ad una vittima. Nel messaggio la si invitata a cliccare sul link al sottodominio per usufruire di una promozione per giocare online gratis.
L’utente, ovviamente, è caduto nella trappola e una volta finito sul sottodominio, è stato derubato dell'account EA e di tutti i suoi dati, carta di credito compresa.
Questa simulazione, per quanto “benevola” è stata la prova evidente che questa tipologia di aggressione potrebbe rappresentare davvero una minaccia alla sicurezza informatica che le aziende e le Pubbliche Amministrazioni non dovrebbero sottovalutare.
Come garantire una migliore sicurezza informatica
Credits Shutterstock
Vista la situazione, ritenuta di vera e propria emergenza, l'ICANN ha invitato ufficialmente tutti i gestori di domini a implementare sui propri siti le estensioni di sicurezza DNSSEC.
Secondo l’organizzazione con queste estensioni gli attacchi hacker ai record DNS diventano quasi impossibili, perché questi verrebbero criptati e, per modificare un record, ovvero una "riga" del file DNS, bisognerebbe prima riuscire a decriptare la chiave di sicurezza.
A suggerire il passaggio in massa a questo nuovo protocollo, anche Paul Vixie, informatico che ha contribuito negli anni '80 allo standard DNS e che, recentemente, ha dato il suo supporto anche alla stesura del sistema DNSSEC.
Come difendersi dal DNS hijacking
Credits Shutterstock
È chiaro che non spetta agli utenti del Web proteggere i domini e i siti implementando lo standard DNSSEC.
Tuttavia sono proprio loro le vittime principali degli attacchi di DNS hijacking e, di conseguenza, in attesa che la community faccia la sua parte è necessario che essi si autotutelino mettendo in atto le proprie misure di sicurezza.
Esistono strumenti, come F-Secure Router Checker, cheimpediscono i dirottamenti DNS. Questo tipo di software si dimostra utile nel caso un hacker abbia manomesso i record DNS di un sito per dirottare l'utente su un portale completamente diverso.
Nel caso però del link diretto ad un sottodominio del vero sito, contenente una fake page, come quello del test eseguito da Check Point e CyberInt, tali software automatici posso far poco e pertanto la prudenza rimane sempre l’arma migliore.
Inoltre, per proteggere ancora meglio i propri dati in rete gli esperti suggeriscono sempre di abilitare l’autenticazione a due fattori, che non può essere replicata dai siti malevoli costruiti dagli hacker.
Inoltre è sempre buona norma cambiare regolarmente le password di accesso al router ai vari dispositivi connessi in rete e alle proprie utenze, soprattutto se si teme di essere a rischio intrusione.
Infine è bene ricordare che non bisogna mai fidarsi di un messaggio privato che offre gratuitamente qualcosa che, normalmente, bisognerebbe pagare.
Per saperne di più: Sicurezza informatica, guida alla navigazione sicura sul web
