DNS-Hijacking

dns hijacking

Copyright © Shutterstock / Alex SG

Was ist DNS-Hijacking?

Beim DNS-Hijacking handelt es sich um einen bösartigen Angriff, bei dem Abfragen an einen Domain Name Server (DNS) zur Ermittlung einer IP-Adresse durch das Manipulieren der TCP / IP-Einstellungen eines Computers gekidnappt und umgeleitet werden. Ziel ist es, User auf gefĂ€lschte Webseiten zu leiten, um private Daten zu stehlen oder andere Inhalte anzuzeigen. Andere Bezeichnungen fĂŒr DNS-Hijacking sind DNS-Weiterleitung oder “Silent Server Swap”, auf Deutsch “verborgener Serveraustausch”.

Wie funktioniert DNS-Hijacking?

Das Domain Name System ist hauptsĂ€chlich dafĂŒr verantwortlich, einen benutzerfreundlichen Domainnamen in seine entsprechende IP-Adresse zu ĂŒbersetzen. Die IP-Adresse wird von einem Browser benötigt, um eine Verbindung zu einer Webseite aufbauen zu können. Beim DNS-Hijakcing wird bei einer Anfrage an einen DNS Server eine gefĂ€lschte IP-Adresse an den Benutzer zurĂŒckgegeben, um ihn an eine andere Webseite umzuleiten.

DNS-Hijacking kann auf zwei verschiedene Arten erfolgen. Bei einem sogenannten Man-in-the-Middle Angriff werden die DNS Anforderungen eines Users abgefangen und an einen sogenannten Rogue DHCP Server weitergeleitet, der von einem Angreifer eingerichtet wurde und fĂŒr Netzwerkangriffe verwendet wird. Dieser Server gibt dann eine falsche IP-Adresse an den Browser des Users zurĂŒck, so dass die Anfrage und der Datenverkehr an eine gefĂ€lschte Webseite weitergeleitet wird. DNS-Hijacking Angriffe diese Art werden als “Pharming” bezeichnet.

Bei der zweiten DNS-Hijacking Methode wird Malware eingesetzt, mit der der Computer oder Router eines Users infiziert wird. Mithilfe der Malware werden die DNS-Einstellungen der Hardware verĂ€ndert, sodass Anfragen an andere als die gewĂŒnschte Webseite weitergeleitet werden.

Ziel

Das Ziel des DNS-Hijacking ist dabei das Gleiche wie bei anderen Attacken auf das Domain Name System wie beispielsweise das Cache Poisoning oder Spoofing, bei dem der Angreifer die Zuordnungen von Domainnamen zu IP Adressen im Cache des DNS-Servers Ă€ndert, sodass gefĂ€lschte IP-Adressen an den anfragenden User zurĂŒckgegeben werden, wodurch dieser ebenfalls an eine andere als die ursprĂŒnglich gesuchte Webseite umgeleitet wird. 

Wozu wird DNS Hijacking verwendet?

Normalerweise wird, wenn ein User eine nicht existierende Domain in den Browser eingibt oder wenn ihm bei der Eingabe ein Fehler unterlĂ€uft, eine Fehlermeldung zurĂŒckgegeben, die den User darauf hinweist, dass die gesuchte Seite nicht existiert. Einige ISPs, darunter auch T-Online, zeigen den Usern keine Fehlermeldung, sondern leiten die User an eine andere Webseite weiter, die beispielsweise Werbung in eigener Sache enthĂ€lt. HĂ€ufig wird DNS-Hijacking dazu verwendet, um mit Werbeanzeigen Geld zu verdienen. Die User werden auf Webseiten mit legitimen Werbeanzeigen umgeleitet, um Impressions zu generieren, fĂŒr die die Webseitenbetreiber eine Provision von den Werbenetzwerken erhalten.
Wesentlich gefĂ€hrlicher ist die Verwendung von DNS Hijacking fĂŒr das sogenannte Phishing oder Pharming. Hierbei werden User zum Beispiel, wenn sie die Adresse ihrer Bank fĂŒr das Online-Banking eingeben, an gefĂ€lschte Webseiten weitergeleitet, die der Originalseite in aller Regel tĂ€uschend Ă€hnlich sehen. Gibt der User hier seine Zugangsdaten ein, werden diese vom Hacker abgefangen und können zu kriminellen Zwecken benutzt werden. Ähnliches geschieht mit den Zugangsdaten fĂŒr Social-Media-Plattformen oder den Zugangsdaten beispielsweise von Amazon oder Ebay. Gelangen Angreifer hier in den Besitz der Zugangsdaten, können Sie auf Kosten des Account-Inhabers einkaufen und sich die Waren an eine andere Adresse liefern lassen
Eine weitere Anwendung ist die Zensur. Wenn bestimmte Webseiten fĂŒr Nutzer nicht erreichbar sein sollen, können diese auf andere, beispielsweise einer der Landesregierung genehme Webseiten weitergeleitet werden. Diese Form der Zensur kann auch von den ISPs eingesetzt werden, um Kunden daran zu hindern, illegale Streaming Plattformen zu erreichen.

Maßnahmen zum Schutz vor DNS-Hijacking

Zu den grundlegendsten Sicherheitsmaßnamen – nicht nur zum Schutz vor DNS-Hijacking – zĂ€hlt die Installation und stĂ€ndige Aktualisierung einer Antiviren- und Antimalware Software. Um geschĂŒtzt zu bleiben, wird empfohlen, sich von nicht vertrauenswĂŒrdigen Websites, die kostenlose Downloads anbieten, fernzuhalten. Die von den Angreifern verwendeten Malware-Programme werden hĂ€ufig als Video- und Audio-Codecs, Video-Downloader, YoTube-Downloader oder als andere kostenlose Dienstprogramme vertrieben. Der DNSChanger-Trojaner ist ein Beispiel fĂŒr eine solche Malware, mit der die DNS-Einstellungen von ĂŒber 4 Millionen Computern geĂ€ndert wurden, um durch betrĂŒgerische Werbeeinnahmen einen Gewinn in Höhe von mehreren Millionen US-Dollar zu erzielen.

Zudem sollte das Standardpasswort des Routers unmittelbar nach der Inbetriebnahme und in der Folge immer wieder geĂ€ndert werden. Ein VPN bietet ebenfalls Schutz vor dem Hijacking, da hierbei der gesamte Datenverkehr verschlĂŒsselt wird und fĂŒr Hacker nicht lesbar ist.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte