Wat is DNS-hijacking?
Het Domain Name System vertaalt jouw domeinnaam naar een numeriek IP-adres , dat gekoppeld is aan een computer ergens op het internet, met daarop jouw website bijvoorbeeld.
Bij een DNS-hacking of -kaping wordt er geknoeid met de DNS-instellingen van jouw domeinnaam. Daardoor kunnen de kapers het verkeer naar jouw website niet alleen inzien, maar ook afleiden naar een website die zij onder controle hebben.
Stel bijvoorbeeld dat hackers de DNS-gegevens van een bank wegkapen. Dan kunnen de hackers op verschillende manieren in het bezit komen van de inloggegevens van de klanten. De hackers kunnen hen naar een perfect nagemaakte site van de bank leiden. Ze tikken naam en wachtwoord in, en de hacker onderschept die om op de echte website transacties uit te voeren. Bij deze hack is de kans groot dat er meteen wantrouwen gewekt wordt, doordat de klanten geen transacties kunnen uitvoeren op de nep-banksite.
De tweede manier houdt in dat de hacker ze naar de échte website van de bank voert, maar hun inloggegevens onderschept om later te gebruiken. Dat is gevaarlijker, omdat de klanten zich niet bewust zijn van enig probleem.
Hoe verloopt een DNS-hijack aanval?
Bij een DNS-hijack worden verschillende technieken gebruikt.
- Om te beginnen moeten de hackers in het bezit komen van de inloggegevens van de persoon of account die toegang heeft tot de DNS-gegevens, en ook gemachtigd is om die te wijzigen. Dat kan de IT-verantwoordelijke zijn, de webmaster, een ontwikkelaar. Hiervoor worden allerlei technieken gebruikt zoals identiteitsfraude, phishing of spear-phishing (een op één bepaalde persoon toegespitste phishing), een keylogger (een hardware of software om je toetsaanslagen te onderscheppen), ....
- Met deze gegevens logt de aanvaller in. Hij kan nu de DNS-records wijzigen: A-records (het Adres), MX-records (Mail Exchanger), NS-records (Name Server ). Hij vervangt de aanwezige gegevens door die van een adres onder zijn controle. Zo leidt hij het verkeer af naar zijn eigen infrastructuur. Of hij kijkt het verkeer in, vooraleer het naar de gewone bestemming door te sturen.
- De aanvaller kan ook een geldig encryptiecertificaat aanvragen op naam van jouw domein. Zo'n encryptie- of SSL-certificaat is nodig om een beveiligde https-verbinding tot stand te brengen tussen de computer van de gebruiker en een website. Omdat de aanvaller kan aantonen dat hij op dat moment controle heeft over het domein, kan hij een nieuw certificaat aanvragen, bijvoorbeeld via Let's Encrypt. Hierdoor kan hij het onderschepte verkeer dat versleuteld is, ontcijferen en de data lezen.
Hoe bescherm je je tegen een DNS-hijack aanval?
Recent is het aantal DNS-hijackings erg toegenomen. Deze vier acties moet je zo snel mogelijk ondernemen, zo adviseert het Amerikaanse Department of Homeland Security (DHS):
- Controleer je DNS-records. Kijk bij zowel de primaire als secundaire DNS-servers of zij naar het gewenste adres verwijzen. En herhaal deze controle regelmatig.
- Wijzig de wachtwoorden voor alle accounts die toegang hebben tot systemen waar er wijzigingen gemaakt kunnen worden aan de DNS-records.
- Activeer Multi-Factor Authenticatie (MFA) voor alle accounts op de systemen die de DNS-records kunnen wijzigen. In volgorde van voorkeur: U2F (universal 2 factor), TOTP (tijd-gebaseerd One Time Password), HOTP (HMAC of versleuteld One Time Password), SMS passcode.
- Monitor de Certificate Transparancy-logs, om te zien of er certificaten uitgegeven werden voor jouw domeinnaam, die jij niet aangevraagd had. Dat kan je bijvoorbeeld doen op https://crt.sh/
Volg ook nog deze tips om je DNS-gegevens te beschermen:
- Ga na wie admin-toegang heeft tot je systemen, en beperk die toegang tot het strikt nodige.
- Gebruik veilige wachtwoorden. Tips voor een sterk en veilig wachtwoord lees je in ons artikel over "Tips voor extra veiligheid op het internet"
- Ook het e-mailadres dat je gebruikt voor communicatie met je registrar (het bedrijf waar jij je domeinnaam geregistreerd hebt) moet goed beveiligd zijn met o.a. multi-factor authenticatie en een sterk wachtwoord. Dat adres wordt namelijk gebruikt bij de 'wachtwoord vergeten' procedure. Gebruik geen persoonlijk mailadres (gebruiker@gmail.com) maar een adres binnen je organisatie (dienst@jouwbedrijf.be)
- Zorg ervoor dat alle beveiligingsupdates voor je systeem toegepast zijn.
- Monitor de logfiles van je systeem/website om ongeoorloofde toegang op te sporen.
- Controleer elk DNS-record dat onder jouw bevoegdheid valt, en ga via de geschiedenis na of er wijzigingen uitgevoerd werden.
- Train je medewerkers op het herkennen van een phishing aanval.
Verdere maatregelen om je .be-domeinnaam te beschermen:
-
Domain guard
Domain Guard of registry lock beschermt je domeinnaam zodat je registrar geen wijzigingen kan doorvoeren zonder je expliciete toestemming.