Skip to main content

DNS-Hijacking

Was ist DNS-Hijacking?

Beim DNS-Hijacking handelt es sich um einen bösartigen Angriff, bei dem Abfragen an einen Domain Name Server (DNS) zur Ermittlung einer IP-Adresse durch das Manipulieren der TCP / IP-Einstellungen eines Computers gekidnappt und umgeleitet werden. Ziel ist es, User auf gefälschte Webseiten zu leiten, um private Daten zu stehlen oder andere Inhalte anzuzeigen. Andere Bezeichnungen für DNS-Hijacking sind DNS-Weiterleitung oder “Silent Server Swap”, auf Deutsch “verborgener Serveraustausch”.

Wie funktioniert DNS-Hijacking?

Das Domain Name System ist hauptsächlich dafür verantwortlich, einen benutzerfreundlichen Domainnamen in seine entsprechende IP-Adresse zu übersetzen. Die IP-Adresse wird von einem Browser benötigt, um eine Verbindung zu einer Webseite aufbauen zu können. Beim DNS-Hijakcing wird bei einer Anfrage an einen DNS Server eine gefälschte IP-Adresse an den Benutzer zurückgegeben, um ihn an eine andere Webseite umzuleiten.

DNS-Hijacking kann auf zwei verschiedene Arten erfolgen. Bei einem sogenannten Man-in-the-Middle Angriff werden die DNS Anforderungen eines Users abgefangen und an einen sogenannten Rogue DHCP Server weitergeleitet, der von einem Angreifer eingerichtet wurde und für Netzwerkangriffe verwendet wird. Dieser Server gibt dann eine falsche IP-Adresse an den Browser des Users zurück, so dass die Anfrage und der Datenverkehr an eine gefälschte Webseite weitergeleitet wird. DNS-Hijacking Angriffe diese Art werden als “Pharming” bezeichnet.

Bei der zweiten DNS-Hijacking Methode wird Malware eingesetzt, mit der der Computer oder Router eines Users infiziert wird. Mithilfe der Malware werden die DNS-Einstellungen der Hardware verändert, sodass Anfragen an andere als die gewünschte Webseite weitergeleitet werden.

Das Ziel des DNS-Hijacking ist dabei das Gleiche wie bei anderen Attacken auf das Domain Name System wie beispielsweise das Cache Poisoning oder Spoofing, bei dem der Angreifer die Zuordnungen von Domainnamen zu IP Adressen im Cache des DNS-Servers ändert, sodass gefälschte IP-Adressen an den anfragenden User zurückgegeben werden, wodurch dieser ebenfalls an eine andere als die ursprünglich gesuchte Webseite umgeleitet wird.

Wozu wird DNS Hijacking verwendet?

Normalerweise wird, wenn ein User eine nicht existierende Domain in den Browser eingibt oder wenn ihm bei der Eingabe ein Fehler unterläuft, eine Fehlermeldung zurückgegeben, die den User darauf hinweist, dass die gesuchte Seite nicht existiert. Einige ISPs, darunter auch T-Online, zeigen den Usern keine Fehlermeldung, sondern leiten die User an eine andere Webseite weiter, die beispielsweise Werbung in eigener Sache enthält. Häufig wird DNS-Hijacking dazu verwendet, um mit Werbeanzeigen Geld zu verdienen. Die User werden auf Webseiten mit legitimen Werbeanzeigen umgeleitet, um Impressions zu generieren, für die die Webseitenbetreiber eine Provision von den Werbenetzwerken erhalten.

Wesentlich gefährlicher ist die Verwendung von DNS Hijacking für das sogenannte Phishing oder Pharming. Hierbei werden User zum Beispiel, wenn sie die Adresse ihrer Bank für das Online-Banking eingeben, an gefälschte Webseiten weitergeleitet, die der Originalseite in aller Regel täuschend ähnlich sehen. Gibt der User hier seine Zugangsdaten ein, werden diese vom Hacker abgefangen und können zu kriminellen Zwecken benutzt werden. Ähnliches geschieht mit den Zugangsdaten für Social-Media-Plattformen oder den Zugangsdaten beispielsweise von Amazon oder Ebay. Gelangen Angreifer hier in den Besitz der Zugangsdaten, können Sie auf Kosten des Account-Inhabers einkaufen und sich die Waren an eine andere Adresse liefern lassen

Eine weitere Anwendung ist die Zensur. Wenn bestimmte Webseiten für Nutzer nicht erreichbar sein sollen, können diese auf andere, beispielsweise einer der Landesregierung genehme Webseiten weitergeleitet werden. Diese Form der Zensur kann auch von den ISPs eingesetzt werden, um Kunden daran zu hindern, illegale Streaming Plattformen zu erreichen.

Maßnahmen zum Schutz vor DNS-Hijacking

Zu den grundlegendsten Sicherheitsmaßnamen – nicht nur zum Schutz vor DNS-Hijacking – zählt die Installation und ständige Aktualisierung einer Antiviren- und Antimalware Software. Um geschützt zu bleiben, wird empfohlen, sich von nicht vertrauenswürdigen Websites, die kostenlose Downloads anbieten, fernzuhalten. Die von den Angreifern verwendeten Malware-Programme werden häufig als Video- und Audio-Codecs, Video-Downloader, YoTube-Downloader oder als andere kostenlose Dienstprogramme vertrieben. Der DNSChanger-Trojaner ist ein Beispiel für eine solche Malware, mit der die DNS-Einstellungen von über 4 Millionen Computern geändert wurden, um durch betrügerische Werbeeinnahmen einen Gewinn in Höhe von mehreren Millionen US-Dollar zu erzielen.

Zudem sollte das Standardpasswort des Routers unmittelbar nach der Inbetriebnahme und in der Folge immer wieder geändert werden. Ein VPN bietet ebenfalls Schutz vor dem Hijacking, da hierbei der gesamte Datenverkehr verschlüsselt wird und für Hacker nicht lesbar ist.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG

DNS-Hijacking
Beitrag bewerten