Mimecast Logo
Richiedi un preventivo

    Spoofing DNS

    Mimecast Web Security aggiunge il monitoraggio e la sicurezza a livello DNS per bloccare lo spoofing DNS, l'avvelenamento della cache DNS, il malware e altre attività web dannose.
    Programma una demo
    Spoofing DNS
    Programma una demo
    Presentazione

    Che cos'è lo spoofing DNS?

    Lo spoofing del Domain Name System (DNS), comunemente chiamato anche DNS cache poisoning, è un cyberattacco in cui i record o le comunicazioni DNS vengono intercettati e alterati per indirizzare gli utenti verso un indirizzo IP diverso.

    In un attacco di spoofing, il traffico dai server legittimi viene reindirizzato verso siti fraudolenti che possono sembrare il sito valido che l'utente finale stava cercando di raggiungere. Questi attacchi possono avvenire senza soluzione di continuità, senza dare alcuna indicazione all'utente di ciò che sta accadendo.

    Quando l'utente arriva al sito falso, potrebbe essere invitato a inserire le proprie credenziali di accesso o a rivelare dati sensibili come i dati della carta di credito, i numeri di conto corrente e le informazioni sulla sicurezza sociale.

    Gli aggressori possono poi utilizzare queste informazioni per rubare denaro, dati e identità, o per accedere alle reti aziendali per lanciare altri attacchi.

    Una volta che un record DNS è stato spoofato, il cyber-attaccante può installare worm o virus sul computer dell'utente, consentendogli un accesso illimitato ai dati forniti.

    Come funziona lo spoofing DNS?

    Per comprendere appieno il funzionamento dello spoofing DNS, è utile capire come Internet instrada gli utenti verso i siti web.

    Ogni server ha la sua impronta unica, chiamata indirizzo di protocollo internet (IP), che è composto da una serie di numeri. Ogni indirizzo IP è mappato su un nome di dominio corrispondente(www.example.com). che indirizza correttamente gli utenti al sito web.

    Per effettuare lo spoofing di un DNS, i cyber-attaccanti trovano e sfruttano i punti deboli di questo processo per reindirizzare il traffico verso un indirizzo IP illegittimo e un sito web falso.

    3 diversi metodi di avvelenamento della cache DNS

    Esistono diversi tipi di spoofing DNS, ma tre sono i più comuni:

    - Duplicazione Man-in-the-middle: L'aggressore si inserisce tra il suo browser e il server DNS per infettare entrambi, utilizzando uno strumento per avvelenare in modo sincrono il dispositivo locale e il server DNS. Questo provoca un reindirizzamento a un sito dannoso ospitato sul server locale dell'aggressore.

    - Avvelenamento della cache DNS da parte dello spam: Gli URL inclusi nelle e-mail di spam e nei banner pubblicitari su siti web inaffidabili vengono compromessi con un virus. Quando l'utente clicca sull'URL, il suo computer viene infettato dal virus presente nell'URL dannoso. Una volta infettato, il dispositivo dell'utente viene indirizzato verso siti web falsi che sembrano reali.

    - Dirottamento del server DNS: il cyber-attaccante riconfigura il server per indirizzare qualsiasi traffico verso il dominio spoofato.

    I pericoli dello spoofing DNS

    Gli attacchi DNS rappresentano il 91% degli attacchi malware, e una richiesta web su 13 porta al malware.

    I rischi includono:

    - Furto di dati

    - Infezione da malware

    - Censura

    - Aggiornamenti di sicurezza bloccati che potrebbero esporre il suo dispositivo a ulteriori minacce.

    Nonostante i pericoli dello spoofing DNS e di altre attività dannose, la maggior parte delle organizzazioni non monitora affatto la propria attività DNS. Tuttavia, l'aumento dello spoofing DNS e di altri attacchi correlati al DNS rende evidente che le organizzazioni devono implementare soluzioni anti-spoofing, nonché una tecnologia di monitoraggio che fornisca informazioni su ciò che accade a livello DNS.  

    Come funziona la web security

    Quando un utente avvia una richiesta di accesso a Internet inserendo un indirizzo nel browser o cliccando su un link in un'e-mail o in un sito web, una richiesta DNS viene inoltrata al servizio di web securityMimecast . Quando Mimecast ispeziona e risolve la richiesta DNS, le politiche di utilizzo accettabile stabilite dall'organizzazione vengono applicate alla richiesta, bloccando l'accesso ai contenuti ritenuti inappropriati per l'uso aziendale. Allo stesso tempo, il sito web di destinazione viene analizzato alla ricerca di contenuti dannosi. Se il sito è ritenuto sicuro, all'utente viene concesso l'accesso immediato. Ma se il sito è ritenuto sospetto o dannoso, Mimecast blocca l'accesso al sito e l'utente viene informato tramite un messaggio nel browser sul motivo.

    Esempi di spoofing DNS & Attacchi di avvelenamento della cache DNS

    Gli aggressori informatici impiegano continuamente tattiche più sofisticate per effettuare lo spoofing DNS. Anche se non esistono due attacchi uguali, uno scenario di spoofing DNS potrebbe essere simile a questo:

    1. L'aggressore intercetta la comunicazione tra un client e un computer server appartenente al sito web preso di mira.

    2. Utilizzando uno strumento come arpspoof, l'aggressore può duplicare sia il client che il server per seguire indirizzi IP dannosi che indirizzano al server dell'aggressore.

    3. L'aggressore crea un sito web falso a cui l'indirizzo IP maligno indirizzerà gli utenti nel tentativo di ottenere informazioni sensibili. 

     

    FAQ sullo spoofing DNS

    DNS si riferisce al Domain Name System (o Domain Name Server), che traduce i nomi di dominio che gli utenti possono leggere in indirizzi IP che le macchine possono leggere. Ogni dispositivo connesso a Internet ha un indirizzo IP univoco che consente agli altri apparecchi di trovarlo. Il DNS elimina la necessità per gli utenti di memorizzare indirizzi IP lunghi e complessi e di utilizzare invece nomi di dominio più semplici.

    Il modo migliore per rilevare l'avvelenamento della cache DNS è utilizzare una soluzione di analisi dei dati per monitorare il comportamento del DNS. Cose che possono segnalare un avvelenamento del DNS:


    • Un aumento dell'attività DNS da parte di una fonte che interroga il suo server DNS per più nomi di dominio senza ottenere risultati.
    • Un aumento anomalo dell'attività DNS da una single fonte a un unico dominio.
    1. Non clicchi su link sconosciuti.
    2. Scarichi la sua cache DNS per eliminare tutti i dati infetti.
    3. Utilizzi una rete privata virtuale (VPN) per incanalare tutto il suo traffico web attraverso server criptati end-to-end.
    4. Controlli la barra degli indirizzi URL per verificare che non ci siano errori di ortografia per assicurarsi di essere indirizzati al sito giusto.

    Risorse correlate sullo spoofing DNS

    Resources_17.jpg
    Web Security

    NIS2 Impact Assessment Checklist: Ensure Compliance

    Datasheet
    Resources_13.jpg
    Web Security

    NIS2 Compliance Blueprint: Your Guide to Meeting Regulatory Requirements

    Datasheet
    Phishy Business -04.jpg
    Web Security

    Episode #10, Season 3 of Phishy Business: The Internet Tattoo Effect and Common Sense Online Safety

    Podcast
    Back to Top