O que é DNS Spoofing? Função, Exemplos e Prevenção

O que parece legítimo pode não ser na realidade, especialmente na internet. Golpistas criam sites falsos que dão a impressão de legitimidade ao espelhar sites reais. Esses sites fraudulentos atraem você a fornecer informações sensíveis e, antes que perceba, você já caiu em fraudes e ataques. Os computadores usam um sistema de nomes de domínio (DNS) para buscar endereços IP e carregar recursos da internet. A falsificação de DNS acontece quando golpistas alteram ou "falsificam" registros DNS para redirecionar o tráfego para um site falso que imita o destino original. Este ataque cibernético tem a intenção de roubar credenciais, espalhar malware ou até mesmo atacar redes locais. Indivíduos e organizações usam software de segurança DNS para filtrar os sites que visitam e proteger dispositivos de endpoint. O que é falsificação de DNS? A falsificação de DNS é um ataque cibernético que corrompe entradas de servidores DNS para que um servidor de nomes retorne um site malicioso em vez do endereço IP correto. O site ilegítimo pede aos usuários que façam login em suas contas. Os usuários fazem isso de boa fé, pensando que estão no site oficial. Infelizmente, acabam compartilhando credenciais com hackers ao fazer login. Sites maliciosos também podem instalar vírus em seu dispositivo ou divulgar informações sensíveis. Hackers geralmente visam ambientes de WiFi público para ataques de falsificação de DNS. Eles também podem lançar esses ataques em ambientes onde podem corromper os protocolos de resolução de endereços (ARP). O objetivo é garantir que um usuário final use a máquina do atacante como servidor para visitar um site. Como funciona a comunicação DNS? Antes de mergulhar nos detalhes da falsificação de DNS, vamos ver como o DNS funciona quando você visita ou navega em um site legítimo. A comunicação normal de DNS mapeia nomes de domínio para endereços de protocolo de internet (IP) associados para entregar resultados web relevantes. Então, você digita um nome de domínio no navegador web do seu computador. Seu computador então solicita a um servidor DNS para encontrar o endereço IP conectado ao nome de domínio que você pesquisou. O servidor DNS procura o endereço IP e o compartilha com seu computador. Agora, seu navegador recebe os dados do servidor do site e carrega o conteúdo do site. O servidor DNS também armazena em cache a tradução de domínio para IP para atender a solicitações subsequentes de pesquisa DNS mais rapidamente. Golpistas injetam entradas DNS forjadas para envenenar o cache do servidor DNS. Como resultado, você acaba em um site impostor destinado a replicar aquele que você pretendia visitar. Falsificação de DNS vs. Envenenamento de DNS Embora usados de forma intercambiável, falsificação de DNS e envenenamento não são a mesma coisa. O envenenamento de DNS ou envenenamento de cache DNS é o método de substituir dados do servidor DNS por redirecionamentos maliciosos. A falsificação de DNS usa um cache envenenado para redirecionar usuários para sites suspeitos. A diferença chave é que o envenenamento de DNS é o método, enquanto a falsificação de DNS é o resultado final. Agora, vamos falar sobre como hackers usam o envenenamento de cache DNS e outros métodos para a falsificação de DNS. Como funciona a falsificação de DNS? A falsificação de DNS funciona manipulando o cache do resolvedor DNS ou dados do servidor de nomes de domínio para redirecionar o tráfego da internet para um servidor controlado pelo atacante. Todo o processo envolve três etapas: configurar o acesso ao servidor DNS, redirecionar conexões e obter acesso a informações sensíveis. Etapa 1: Configuração do acesso ao servidor DNS Hackers preparam o cenário para obter acesso ao servidor DNS ou ao cache do resolvedor. O processo começa com a identificação do endereço de controle de acesso à mídia (MAC) e da versão do software de um servidor DNS. Em seguida, eles descobrem se um servidor usa criptografia DNS ou extensões de segurança do sistema de nomes de domínio (DNSSEC). Uma vez que conhecem as vulnerabilidades do servidor DNS, eles se preparam para atacar consultas e respostas DNS desprotegidas. Etapa 2: Redirecionamento de conexão Neste ponto, os atacantes substituem as entradas originais do servidor DNS ou do resolvedor por falsas. A maioria dos sistemas DNS são inerentemente confiantes e não conseguem diferenciar entre endereços IP maliciosos e legítimos. Os atacantes usam essa brecha para injetar endereços IP falsos e retornar respostas DNS falsas. A entrada falsificada permanece no sistema e redireciona visitantes para sites suspeitos. Etapa 3: Acesso a dados sensíveis Quando os visitantes chegam ao site de phishing, ele pede que façam login. Como os visitantes pensam que os sites são legítimos, eles obedecem e os atacantes conseguem acessar seus dados. Depois disso, os golpistas podem roubar dados, instalar malware infeccioso ou até mesmo impedir atualizações do sistema. Métodos de falsificação de DNS Abaixo estão os tipos comuns de ataques que hackers lançam para falsificar registros. Comprometimento do servidor DNS acontece quando cibercriminosos obtêm acesso a servidores DNS e injetam entradas DNS falsas neles. Os endereços IP falsos redirecionam o tráfego para sites controlados por atacantes. Ataques man-in-the-middle (MITM) são ataques cibernéticos que hackers lançam para sequestrar informações sensíveis durante a transmissão de dados entre duas partes, dispositivos ou aplicativos. Golpistas interceptam solicitações DNS antes que cheguem aos servidores. Como resultado, os usuários veem resultados falsificados. O envenenamento de cache DNS infecta o cache do resolvedor DNS dos dispositivos dos usuários, que salva endereços IP para processar solicitações subsequentes mais rapidamente. Essa infecção envolve hackers alterando endereços IP armazenados. Como resultado, os dispositivos dos usuários usam os dados forjados e chegam a sites falsos. Exemplo de ataque de envenenamento de cache DNS Este exemplo de envenenamento de cache DNS vai guiá-lo pelo modo como um atacante interrompe a comunicação entre um usuário cliente e um site original. Modificação de endereço MAC: Um perpetrador usa uma ferramenta de falsificação ARP para alterar o endereço MAC de um servidor na tabela ARP. Alterar esse endereço MAC engana o servidor, fazendo-o pensar que o computador do atacante é na verdade o do cliente. Encaminhamento de pacotes IP: O atacante emite outro comando para receber pacotes de comunicação IP e do servidor. Criação de arquivo de host: Agora, o golpista cria um arquivo de host de computador local para mapear o site original para seu endereço IP. Criação de site falso: Golpistas criam um site que imita o original. Eles também configuram um servidor web nos endereços IP dos computadores locais. Redirecionamento de solicitação DNS: Atacantes usam ferramentas de falsificação de DNS para redirecionar solicitações DNS para seus arquivos de host locais. Exibição de site falso: Visitantes chegam ao site falso e compartilham informações sensíveis ao interagir. Um exemplo real de falsificação de DNS é o ataque ao MyEtherWallet, uma plataforma de carteira de criptomoedas. Ela sofreu um sequestro de DNS em 2018 como resultado de um ataque de envenenamento em seus servidores de registro DNS. Hackers usaram o protocolo de gateway de borda (BGP) e falhas de DNS para redirecionar usuários para um site falso. Usuários que faziam login no site falso acabavam compartilhando suas credenciais de login com os atacantes. Golpistas usaram essas credenciais para roubar Ether no valor de $152.000. Você sabia? Em 2022, 88% das organizações experimentaram ataques DNS que custaram $942.000 em mitigação de ameaças, danos aos negócios e horas de trabalho equivalentes a tempo integral (FTE) gastas. Riscos de falsificação e envenenamento de DNS Os riscos comuns de falsificação e envenenamento de DNS incluem roubo de dados, censura e infecção por malware, para citar alguns. Vamos explorar cada um deles. Violação de dados ou roubo de dados acontece quando hackers obtêm acesso a informações confidenciais e sensíveis. Ataques de falsificação de DNS geralmente imitam sites de bancos e de varejo online para coletar sua senha, detalhes de cartão de crédito ou outros dados pessoais. Infecção por malware é outra ameaça comum de falsificação. Nesse caso, hackers redirecionam você para um site com downloads estranhos. Seu dispositivo é infectado assim que você baixa algo deles. Além disso, há também o risco de exposição a spyware, keyloggers ou registradores de teclas – ferramentas que registram o que você digita em seu dispositivo. Atualizações de segurança interrompidas ocorrem quando a falsificação afeta sites de provedores de segurança da internet. Os usuários podem cair vítimas de um Trojan que se disfarça como um programa padrão em um dispositivo. Censura ocorre quando golpistas hackeiam DNS para restringir resultados web. Alguns governos também usam envenenamento de cache DNS para impedir que seus cidadãos acessem certas informações. Por exemplo, a República Popular da China usa hacking de DNS como parte do Grande Firewall – um sistema nacional de filtragem de DNS para proteger os residentes de sites não aprovados. Como detectar e prevenir a falsificação de DNS A melhor maneira de detectar e prevenir a falsificação de DNS é usar protocolos de segurança baseados em criptografia, como camada de soquetes seguros (SSL) e ferramentas de detecção de falsificação. Detecção de falsificação de DNS O software de monitoramento de sites não pode ser negligenciado. Essas soluções não apenas rastreiam métricas de disponibilidade da web, mas também alertam os administradores em caso de degradação de desempenho ou comportamento DNS duvidoso. Sinais comuns de envenenamento de DNS incluem: Múltiplas consultas de nome de domínio. Por exemplo, uma única fonte pode consultar um servidor DNS para vários nomes de domínio sem retornos. Você pode identificar esse problema observando atividades DNS de uma única fonte. Aumento das atividades DNS para um único domínio. Outro exemplo é quando um único domínio experimenta um aumento rápido nas atividades DNS de uma única fonte. Dica profissional: Se você suspeitar que seu site é vítima de falsificação de DNS, acesse seu site usando software de rede privada virtual (VPN) gratuito. Se você for redirecionado para um site falso, saberá que seu cache está envenenado. Prevenção de falsificação de DNS A falsificação de DNS é mais uma medida reativa. Use os seguintes mecanismos para detectar tentativas de falsificação de DNS e preveni-las. Escolha cuidadosamente seu provedor de DNS gerenciado. As empresas usam provedores de DNS para autenticar visitantes e gerenciar dados DNS para sites e aplicativos. Esses provedores podem oferecer várias capacidades de failover e prevenção de ataques de negação de serviço distribuída (DDoS). Certifique-se de que seu provedor de DNS tenha esses recursos de segurança essenciais. Configure software de detecção de falsificação de DNS. Essas ferramentas sinalizam envenenamento de cache ARP inspecionando dados recebidos antes de transmiti-los. Implemente protocolos criptografados. Ferramentas de certificados SSL e de segurança da camada de transporte (TLS) protegem dados de servidores DNS com criptografia de ponta a ponta. Além disso, os usuários recorrem a essas ferramentas para verificar a validade do certificado digital de um servidor e sua propriedade. Verifique a autenticidade dos dados com DNSSEC. As extensões de segurança do sistema de nomes de domínio usam criptografia de chave pública e assinaturas digitais para autenticação. Reduza vulnerabilidades de software atualizando regularmente o sistema operacional do seu dispositivo e o software do navegador web. Evite e-mails suspeitos ou spear phishing que o levem a sites falsos projetados para roubar dados sensíveis. Evite clicar em URLs que você não reconhece. Em vez disso, você pode digitar manualmente os URLs na barra de endereços. E verifique a legitimidade de um site que você visita verificando o selo de confiança do site, o cadeado da barra de endereços e verificando-o através do Navegação Segura do Google. Use software antivírus para descobrir malware, programas maliciosos, spyware e vírus em seu computador. Use um antivírus instalado localmente porque o envenenamento de DNS pode alterar os resultados baseados na web. Limpe o cache DNS com opções de limpeza. Você pode simplesmente abrir o programa de execução e digitar o comando ipconfig /flushdns para limpar o cache DNS e remover dados infectados. As opções de limpeza estão disponíveis em Apple iOS, Android, Mac e Windows 10. Alguns sistemas apresentam a opção de redefinição de configurações de rede, que faz o mesmo trabalho. Use software VPN para se beneficiar de um túnel criptografado ao acessar a internet. Software de segurança DNS Soluções de software de segurança DNS protegem servidores ao identificar assinaturas de malware e outros tipos de ameaças. As principais escolhas são: DNSFilter Palo Alto Networks URL Filtering Web Security BloxOne DDI DNSSense DNSEye Open DNS Personal Internet Security * Estas são as cinco principais soluções de software de segurança DNS do Relatório Grid® de Verão de 2023 da G2. Não deixe que a aura de legitimidade o engane Hackers corrompem entradas DNS para redirecioná-lo para um site que parece real, mas é fraudulento. Este ataque cibernético corrompe dados de usuários e ameaça a privacidade dos dados. Nenhuma armadura pode protegê-lo a menos que você esteja atento a identificar sinais de envenenamento de DNS usando limpeza de cache DNS, software antivírus e ferramentas VPN. Dê um basta aos vilões digitais com esses softwares antivírus gratuitos que o protegem de perder dados, dinheiro e informações valiosas.