Zum Hauptinhalt springen

Was ist DNS-Hijacking?

Eine Reihe von DNS-Servern wird gekapert.

DNS-Hijacking (Domain Name System) ist eine ernsthafte Bedrohung für Ihr System und kann sehr kostspielige Folgen haben. Da der Angriff es einer böswilligen dritten Partei ermöglicht, die DNS-Einstellungen zu übernehmen und die Benutzer auf betrügerische Websites umzuleiten, kann dies eine Vielzahl verschiedener Benutzer betreffen. Um DNS-Hijacking vollständig zu verstehen, ist es wichtig, eine allgemeine Vorstellung davon zu haben, was das DNS ist und was es tut.

Kurz gesagt, das DNS wird verwendet, um Websites in der ganzen Welt zu verfolgen, zu katalogisieren und zu regulieren. Es ermöglicht Nutzern den Zugriff auf Informationen, indem es einen Domänennamen (wie kaspersky.com) in die IP-Adresse übersetzt, die der Browser des Nutzers benötigt, um Internetressourcen (wie Webseiten oder Blogartikel) zu laden. Wenn Sie einen genaueren Blick auf die Funktionsweise des DNS werfen möchten, lesen Sie unseren Artikel über DNS-Spoofing und Cache Poisoning.

Nachdem Sie nun eine bessere Vorstellung davon haben, was das DNS ist und welchen Zweck es erfüllt, wollen wir das DNS-Hijacking näher untersuchen.

  • Was ist DNS-Hijacking?
  • Wie funktioniert das DNS-Hijacking?
  • Wie kann man DNS-Hijacking erkennen?
  • Wie kann man DNS-Hijacking verhindern?
  • FAQs über DNS-Hijacking

Was ist DNS-Hijacking?

Beim Domain Name System Hijacking, auch bekannt als DNS-Umleitungsangriff, werden die vom Browser des Opfers gesendeten DNS-Anfragen falsch aufgelöst und der Benutzer auf eine bösartige Website umgeleitet.

Während einige DNS-Spoofing-Angriffe, wie DNS-Cache-Poisoning (bei dem Ihr System die betrügerische IP-Adresse in Ihrem lokalen Cache-Speicher protokolliert), auf die Änderung der DNS-Einträge abzielen, werden beim DNS-Hijacking die DNS-Einstellungen selbst geändert, häufig durch die Installation von Malware auf den Computern der Opfer. So kann der Hacker Ihre Router übernehmen, DNS-Signale abfangen oder einfach die DNS-Kommunikation hacken. DNS-Hijacking ist in der Regel eine der störendsten Arten von Angriffen auf das allgemeine Domain Name System.

Dies ist sowohl für Privatanwender als auch für Unternehmen ein großes Problem. Im Falle eines einzelnen Benutzers können die Hijacker einen Phishing-Betrug durchführen (bei dem den Opfern gefälschte Versionen legitimer Websites angezeigt werden, die Benutzerdaten wie Passwörter, Anmeldedaten und Kreditkarteninformationen stehlen). Im Falle einer Verbraucher-Webseite (z. B. eines Unternehmens) können Cyberkriminelle die Besucher Ihrer Unternehmenswebseite jedoch auf von ihnen erstellte betrügerische Seiten weiterleiten. Sobald Ihre Benutzer dort sind, können diese von Hackern erstellten Webseiten erneut verwendet werden, um Anmeldeinformationen und vertrauliche persönliche Daten zu stehlen. Dazu könnten Informationen über die Mitarbeiter gehören, die für die innere Arbeitsweise Ihres Unternehmens relevant sind, oder sogar sensible Finanzdaten. Durch diesen Angriff können sie sogar Informationen aus offiziellen eingehenden E-Mails abfangen. Insgesamt kann DNS-Hijacking einen kostspieligen Angriff auf Daten und Privatsphäre darstellen.

Interessanterweise verwenden viele anerkannte ISPs (Internet Service Providers) und Regierungen eine Art DNS-Hijacking, um die DNS-Anfragen ihrer Benutzer zu übernehmen. Internetdienstanbieter tun dies, um Statistiken zu sammeln und Anzeigen zu schalten, wenn Nutzer unbekannte Domänenbereiche besuchen. Sie tun dies, indem sie Sie auf ihre Website umleiten, auf der sich ihre Anzeigen befinden, anstatt Ihnen eine Fehlermeldung zu geben. Regierungen nutzen DNS-Hijacking zur Zensur und zur sicheren Umleitung ihrer Nutzer auf von der Regierung genehmigte Webdomänen oder Seiten.

Wie funktioniert das DNS-Hijacking?

Wenn Sie eine Website-Adresse in Ihren Browser eingeben, sammelt dieser Informationen über die Webseite aus Ihrem lokalen Browser-Cache (wenn Sie die Seite kürzlich besucht haben), oder er sendet eine DNS-Anfrage an den Nameserver (der in der Regel von einem seriösen Internetdienstanbieter bereitgestellt wird). Der Punkt der Kommunikation zwischen Ihrem Browser, der die DNS-Anfrage sendet, und der Antwort des Namensservers ist am anfälligsten für Angriffe, da er nicht verschlüsselt ist. An diesem Punkt fangen die Hacker die Anfrage ab und leiten den Benutzer auf eine ihrer bösartigen Websites um, um ihn zu erpressen. Es gibt vier verschiedene Arten von DNS-Hijacking, die Cyberkriminelle heute anwenden: „lokal“, „Router“, „Schurken“ und „Man-in-the-Middle“.

Lokales Hijacking: In diesem Fall installiert ein Hacker einen Trojaner auf Ihrem System, um die lokalen DNS-Einstellungen anzugreifen. Nach dem Angriff können sie diese lokalen Einstellungen so ändern, dass sie direkt auf ihre eigenen DNS-Server verweisen (z. B. anstelle eines Standardservers). Von hier aus würden alle vom Browser des Opfers gestellten Anfragen an die Server des Hackers weitergeleitet, und dieser könnte zurückschicken, was er wollte. Sie können Sie auch auf andere bösartige Webserver verweisen.

Router-Hijacking: Im Gegensatz zu dem, was manche Leute denken, ist das Hijacking des Routers für viele Cyberkriminelle der erste Angriffspunkt. Das liegt daran, dass viele Router Standardpasswörter oder bestehende Firmware-Schwachstellen haben, die Hacker leicht finden können (viele Unternehmen nehmen sich nicht die Zeit, die Anmeldedaten ihrer Router zu individualisieren). Sobald die Hacker eingeloggt sind, ändern sie die DNS-Einstellungen und geben einen bevorzugten DNS-Server an (der in der Regel ihnen gehört), so dass die Umwandlung einer Webadresse in eine IP-Adresse ausschließlich von ihnen kontrolliert wird. Von hier aus werden die Browseranfragen der Benutzer an bösartige Websites weitergeleitet. Dies ist besonders schwerwiegend, da nicht nur ein Benutzer betroffen ist, sondern alle Benutzer, die mit dem infizierten Router verbunden sind.

Schurkenhaftes Hijacking: Diese Art der Cyberkriminalität ist viel komplizierter als lokales Hijacking, da sie nicht vom Zielgerät aus gesteuert werden kann. Stattdessen kapern die Hacker den bestehenden Namensserver des Internetanbieters, um ausgewählte Einträge zu ändern. Infolgedessen greifen die ahnungslosen Opfer scheinbar auf den richtigen DNS-Server zu, der in Wirklichkeit von den Hackern infiltriert wurde. Die Cyberkriminellen ändern dann die DNS-Einträge, um die DNS-Anfragen des Benutzers auf eine bösartige Website umzuleiten. Da die Internetanbieter höhere Sicherheitsstandards eingeführt haben, ist dieser Angriff viel seltener und schwieriger durchzuführen. Wenn dieser Angriff stattfindet, kann er eine große Anzahl von Nutzern betreffen, da jeder, der seine Anfragen über diesen Server auflöst, ein Opfer sein könnte.

Man-in-the-middle-Angriffe: Diese Art von Angriffen konzentriert sich auf das Abfangen der Kommunikation zwischen Ihnen und dem DNS. Mit Hilfe spezieller Tools unterbricht der Hacker die Kommunikation zwischen einem Client und dem Server, da viele DNS-Anfragen nicht verschlüsselt sind. Die anfragenden Benutzer erhalten dann eine andere Ziel-IP-Adresse, die auf eine bösartige Website verweist. Dies kann auch als eine Art DNS-Cache-Poisoning-Angriff sowohl auf Ihr lokales Gerät als auch auf den DNS-Server selbst verwendet werden. Das Ergebnis ist in etwa dasselbe wie das oben beschriebene.

Ein Bildschirm, der anzeigt, dass ein DNS-Angriff erkannt wurde.

Wie kann man DNS-Hijacking erkennen?

Glücklicherweise gibt es eine Reihe von verschiedenen und einfachen Möglichkeiten, um zu überprüfen, ob Ihr DNS gehackt wurde. Zunächst einmal ist es wichtig zu wissen, dass Ihr DNS gehackt worden sein könnte, wenn einige der von Ihnen regelmäßig genutzten Websites immer langsamer als gewöhnlich geladen werden oder Sie mehr zufällige Popup-Werbung erhalten (die Ihnen normalerweise mitteilt, dass Ihr Computer „infiziert“ ist). Allein anhand dieser Symptome ist es jedoch unmöglich, eine sichere Aussage zu treffen. Im Folgenden finden Sie eine Reihe praktischer Tests, die Sie mit Ihrer Maschine durchführen können:

Führen Sie einen „Ping-Befehl“-Test durch

Ein Ping-Befehl wird im Wesentlichen verwendet, um festzustellen, ob eine IP-Adresse tatsächlich existiert. Wenn Ihr Browser eine nicht existierende IP-Adresse anpingt und diese trotzdem aufgelöst wird, besteht eine hohe Wahrscheinlichkeit, dass Ihr DNS gehackt wurde. Dies kann auf Mac und Windows erfolgen. Für Mac-Computer, einfach:

Öffnen Sie das Terminal und geben Sie den folgenden Befehl ein:

Ping kaspersky123456.com

Wenn es heißt „kann nicht aufgelöst werden“, ist Ihr DNS in Ordnung.

Wenn Sie einen Windows-Computer verwenden, müssen Sie nur Folgendes tun:

Öffnen Sie die Eingabeaufforderung und geben Sie Folgendes ein:

Ping kaspersky123456.com

Wenn es heißt „kann nicht aufgelöst werden“, ist Ihr DNS in Ordnung.

Überprüfen Sie Ihren Router oder verwenden Sie einen „Router-Checker“.

Dieser nächste Test wird von vielen Online-Seiten angeboten. Digitale Router-Checkdienste überprüfen Ihr System mit einem zuverlässigen DNS-Resolver und stellen fest, ob Sie einen autorisierten DNS-Server verwenden. Alternativ können Sie die Verwaltungsseite Ihres Routers online aufrufen und dort die DNS-Einstellungen überprüfen.

WhoIsMyDNS.com verwenden

Dieser Online-Dienst zeigt Ihnen die DNS-Server, die Sie verwenden, und das Unternehmen, dem sie gehören. Im Allgemeinen verwendet Ihr Browser die IP-Adresse der DNS-Server, die von Ihrem Internetanbieter bereitgestellt werden. Wenn Ihnen der Firmenname nicht bekannt vorkommt, wurde Ihr DNS möglicherweise gekapert.

Wenn Sie wissen, dass Ihre DNS-Server gehackt wurden, oder wenn dies schon einmal passiert ist, empfehlen wir Ihnen, einen alternativen öffentlichen DNS-Dienst wie die öffentlichen DNS-Server von Google zu verwenden.

Wie kann man DNS-Hijacking verhindern?

Unabhängig davon, ob es sich um ein lokales, ein Router- oder ein Rogue-DNS-Hijacking handelt, ist es immer besser, von vornherein zu vermeiden, gehackt zu werden. Zum Glück gibt es eine Reihe von Maßnahmen, die Sie ergreifen können, um Ihre DNS-Sicherheit und Ihre Datensicherheit insgesamt zu verbessern.

Klicken Sie niemals auf einen verdächtigen oder unbekannten Link: Dies gilt auch für Links in E-Mails, Textnachrichten oder in sozialen Medien. Denken Sie daran, dass Tools, die URLs verkürzen, gefährliche Linkziele noch weiter verschleiern können, also vermeiden Sie deren Verwendung so weit wie möglich. Auch wenn es zeitaufwändig ist, sollten Sie sich immer dafür entscheiden, eine URL manuell in Ihren Browser einzugeben (aber erst nachdem Sie sich vergewissert haben, dass sie legitim ist).

Verwenden Sie seriöse Antiviren-Software: Es ist immer die beste Praxis, Ihren Computer regelmäßig auf Malware zu überprüfen und Ihre Software zu aktualisieren, wenn Sie dazu aufgefordert werden. Die Sicherheitssoftware Ihres Systems wird Ihnen dabei helfen, etwaige Infektionen durch einen DNS-Hijack zu erkennen und zu entfernen, insbesondere wenn Sie während eines lokalen Hijacks mit Trojaner-Malware infiziert wurden. Da bösartige Websites alle Arten von Malware und Adware-Programmen enthalten können, sollten Sie konsequent nach Viren, Spyware und anderen versteckten Problemen suchen.

Verwenden Sie ein virtuelles privates Netzwerk (VPN): Ein VPN bietet Ihnen einen verschlüsselten digitalen Tunnel für alle Ihre Website-Abfragen und Ihren Datenverkehr. Die meisten bekannten VPNs verwenden private DNS-Server, die ausschließlich verschlüsselte End-to-End-Anfragen verwenden, um Ihren lokalen Rechner und ihre DNS-Server zu schützen. Das Ergebnis sind Server, die Anfragen entgegennehmen, die nicht unterbrochen werden können, was die Wahrscheinlichkeit eines Man-in-the-Middle-DNS-Hijacking radikal verringert.

Ändern Sie das Kennwort (und den Benutzernamen) Ihres Routers:Dies scheint relativ einfach und offensichtlich zu sein, aber viele Benutzer treffen diese Vorsichtsmaßnahme nicht. Wie wir bereits erwähnt haben, ist es sehr einfach, die Standard-Anmeldedaten eines Routers zu knacken, da sie so selten geändert werden. Wenn Sie ein neues Passwort erstellen, empfehlen wir immer ein „starkes“ Passwort zu verwenden (etwa 10-12 Zeichen lang, mit einer Mischung aus Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben).

Achtung: Wenn Sie sich auf einer Ihnen unbekannten Website befinden und dort verschiedene Pop-ups, Landing Pages und Registerkarten angezeigt werden, die Sie noch nie gesehen haben, sollten Sie die Seite sofort verlassen. Die Kenntnis der digitalen Warnzeichen ist der erste Schritt zu einer besseren Cybersicherheit.

Als Inhaber einer Website können Sie jedoch auf verschiedene Weise verhindern, dass Ihr DNS gekapert wird.

Beschränken Sie den Zugriff auf das DNS: Wenn Sie den Zugriff auf Ihre DNS-Einstellungen auf einige wenige Mitglieder Ihres IT-Teams beschränken, schränken Sie die Möglichkeiten von Cyberkriminellen ein, die Ihre Teammitglieder ausnutzen. Stellen Sie außerdem sicher, dass die wenigen Auserwählten beim Zugriff auf die DNS-Registrierstelle eine Zwei-Faktor-Authentifizierung verwenden.

Aktivieren Sie die Client-Sperre: Einige DNS-Registrierungsstellen unterstützen „Client Locking“, was Änderungen an DNS-Einträgen ohne Genehmigung verhindert. Wir empfehlen, sie zu aktivieren, wenn Sie können.

Verwenden Sie eine Registrierstelle, die DNSSEC unterstützt: Die Domain Name System Sicherheitserweiterungen sind eine Art „verified real“-Label, das dazu beiträgt, dass eine DNS-Abfrage authentisch bleibt. Dadurch wird es für Hacker schwieriger, Ihre DNS-Anfragen abzufangen.

Machen Sie sich nicht anfällig für DNS-Hijacking und andere Formen von Malware-Angriffen. Mit den Kaspersky Security Solutionskönnen Sie Ihre Online-Aktivitäten über mehrere Geräte hinweg sicher und privat halten. Informieren Sie sich noch heute.

FAQs über DNS-Hijacking?

Was ist DNS-Hijacking?

Beim Domain Name System Hijacking, auch bekannt als DNS-Umleitungsangriff, werden die vom Browser des Opfers gesendeten DNS-Anfragen abgefangen und falsch aufgelöst, so dass der Benutzer auf eine bösartige Website umgeleitet wird. Das DNS kann lokal mit Schadsoftware, über den Router, durch Abfangen oder über den Namenserver gekapert werden.

Wie funktioniert das DNS-Hijacking?

DNS-Hijacking funktioniert, indem der Kommunikationspunkt zwischen dem Browser, der eine DNS-Anfrage sendet, und der Antwort des Namenservers angegriffen wird, da er oft nicht verschlüsselt ist. An dieser Stelle kann ein Hacker Sie auf eine seiner bösartigen Websites umleiten, um Sie zu erpressen.

Wie kann ich einen DNS-Hijack stoppen?

Es gibt eine Reihe von Möglichkeiten, DNS-Hijacking zu stoppen und zu verhindern. Individuelle Nutzer sollten nicht auf verdächtige Links klicken oder Domains mit vielen Pop-ups besuchen. Sie sollten eine gute Antiviren-Software verwenden, den Benutzernamen und das Passwort des Routers ändern und über ein VPN auf das Internet zugreifen.

Verwandte Produkte:

Kaspersky Security for Small Businesses

Kaspersky Security for Medium Businesses

Kaspersky Enterprise Security

Kaspersky Password Manager

Verwandte Artikel und Links:

Sicherheitstipps für Mac- und PC-Computer

Was ist DNS-Spoofing und Cache Poisoning?

Erscheinungsformen und Beispiele von Malware

Was ist DNS-Hijacking?

Sie möchten wissen, was ein DNS-Hijack-Angriff ist, wie Sie ihn erkennen und verhindern können? Klicken Sie hier, um alles zu erfahren, was Sie über DNS-Hijacking wissen müssen.
Kaspersky logo

Weitere interessante Artikel: