Eben hast du beschlossen, nordpass.com zu besuchen. Du hast die Adresse in deinen Browser eingegeben und schwupps, schon bist du hier. Hast du dich jemals gefragt, was dabei im Hintergrund passiert?
Inhalt
Dein Browser ist nicht in der Lage, diese Domäne zu finden — er muss einen DNS-Server kontaktieren, um dich hierher zu bringen. Und selbst wenn du tatsächlich mit der richtigen Website verbunden warst, kann ein DNS-Spoofing-Angriff dich ganz woanders hinbringen. Hier erfährst du, worum es sich dabei handelt und wie du dich davor schützen kannst.
Was ist DNS?
Um DNS-Spoofing zu verstehen, musst du zunächst wissen, was DNS-Server sind.
Jede Website im Internet hat einen Domänennamen und eine eindeutige IP-Adresse, die mit ihr verknüpft ist. Unsere Browser können nur anhand von IP-Adressen navigieren. Diese sind jedoch mindestens acht Ziffern lang (mehr, wenn die Website IPv6 verwendet), was ihre Verwendung unpraktisch macht und wodurch sie für den Einzelnen schwer zu merken sind. Aus diesem Grund verwenden wir Domänennamen für einen leichteren Zugang — wie nordpass.com für NordPass. Und wir speichern die Domäne und die IP-Adresse jeder Website auf einem DNS-Server, auf den unsere Browser im Bedarfsfall jederzeit zugreifen können.
Wann immer du also eine Website aufrufen willst, gibst du den Domänennamen ein, und dein Browser kontaktiert einen DNS-Server, um die IP-Adresse dieser Domäne zu erfragen. Falls sie in der Datenbank des Servers vorhanden ist, sendet er sie zurück, und dein Browser verbindet dich mit der Website. Der DNS-Server verfügt jedoch nur über Adressen, die in seinem Netz am häufigsten verwendet werden. Erhält der Server eine Anfrage für einen Domänennamen, der nicht in seiner Datenbank enthalten ist, wendet er sich an einen anderen DNS-Server und fragt nach dem Namen. Nachdem der Domänenname an dich zurückgeschickt wurde, speichert ihn dein lokaler Server zusammen mit der entsprechenden IP-Adresse für eine kurze Zeit in seinem Cache.
Ebenso prüft dein Browser seinen eigenen lokalen Cache, bevor er den DNS-Server kontaktiert. Wenn du dieselbe Domäne kürzlich besucht hast, wird ihre IP-Adresse dort gespeichert. Auf diese Weise muss dein Browser keine neue Anfrage an den DNS-Server senden, und die Verbindung ist etwas schneller.
So funktioniert DNS-Spoofing
Angreifer nutzen DNS-Spoofing-Angriffe (auch DNS-Poisoning genannt), um Internetnutzer auf gefälschte Websites umzuleiten, die genauso aussehen wie die echten. Die meisten bekommen davon gar nichts mit und nutzen diese Websites wie gewohnt. Cyberkriminelle versuchen auf diese Weise, Informationen über ihre Opfer zu erlangen (z. B. deren Anmeldeinformationen) oder Malware auf deren Geräten zu installieren.
Hacker verwenden manchmal auch DNS-Spoofing, um DDoS-Angriffe durchzuführen. Sie leiten die Benutzer von mehreren Websites auf die anvisierte Website um, welche dann abstürzt, weil sie der Last nicht gewachsen ist.
Es gibt einige DNS-Schwachstellen, die von Cyberkriminellen für verschiedene Angriffe ausgenutzt werden können:
Cache Poisoning
Dies ist eine der beliebtesten Methoden des DNS-Spoofing. Cache Poisoning ist nicht nur dazu geeignet, Benutzer dorthin umzuleiten, wo der Angreifer sie haben will — es ermöglicht auch, die Caches anderer DNS-Server zu beschädigen und die gefälschte IP-Adresse zu verbreiten. Der Angreifer fügt die gefälschte IP-Adresse in den Cache ein, und der Server übermittelt sie jedes Mal, wenn ein Benutzer sie anfordert.
Auf diese Weise erhält jeder Server, der eine Anfrage nach der IP dieser Domäne sendet, auch eine gefälschte IP und speichert sie in seinem Cache. Der gefälschte DNS-Eintrag wird dann für eine gewisse Zeit – zwischen einigen Stunden und einem ganzen Tag – im Cache gespeichert.
Hacken des DNS-Servers
Diese Methode ähnelt dem Cache Poisoning — auch hier wird eine gefälschte IP-Adresse auf dem Server platziert. Allerdings ist es nicht leicht, einen Server dazu zu bringen, einen betrügerischen Datensatz im Cache zu speichern. Die Angreifer benötigen die Anmeldeinformationen eines echten Benutzers, um in einen DNS-Server einzudringen. Diese erhalten sie in der Regel durch Keylogging-Malware, Phishing oder Man-in-the-Middle-Angriffe. Diese Art von DNS-Spoofing ist zwar recht schwierig, aber die gefälschte IP-Adresse landet direkt in der Datenbank des Servers und bleibt dort, und nicht in einem Cache, der schnell abläuft.
Twitter wurde 2009 Opfer eines solchen Angriffs,, als iranische Cyberkriminelle den gesamten Datenverkehr auf ihre Website umleiteten. Twitter hat jedoch nie erklärt, wie es den Angreifern gelungen ist, die Anmeldeinformationen eines seiner Mitarbeiter abzugreifen.
Man-in-the-Middle-Angriff
Wenn es einem Angreifer gelingt, die Kommunikation eines Benutzers mit dem DNS-Server abzufangen, kann er auf dessen Anfragen mit einer IP-Adresse antworten, die zu einer gefälschten oder bösartigen Website führt. Um unbemerkt an Informationen zu gelangen, erstellen die Angreifer eine Kopie einer echten Website (soziales Netzwerk, Onlineshop, E-Mail-Dienst usw.). Einige betrügerische Websites sind so ausgefeilt, dass es schwierig sein kann, sie von den Originalen zu unterscheiden. Manche Fälschungen hingegen sind geradezu absurde Versuche, anderen etwas vorzumachen, wie z. B. das Outlet einer beliebten Bekleidungsmarke, das aussieht, als sei es mit MS Paint entworfen worden.
Wie vermeidet man DNS-Spoofing?
Für Unternehmen gibt es verschiedene Möglichkeiten, DNS-Server zu schützen, wobei DNSSEC (Domain Name System Security Extensions) eine der beliebtesten Methoden ist. Mit Hilfe der Public-Key-Kryptografie werden IP-Adressen authentifiziert, ihre Herkunft überprüft und sichergestellt, dass sie während der Übertragung nicht manipuliert wurden.
Der normale Internetnutzer jedoch kann leider nicht viel tun, um DNS-Spoofing zu verhindern. Es gibt auch keine Möglichkeit zu überprüfen, ob die IP-Adresse, die der DNS-Server gesendet hat, echt ist oder durch eine andere ersetzt wurde. Die Lage ist jedoch nicht gänzlich hoffnungslos. Es gibt zahlreiche Anzeichen für gefälschte Websites, auf die man achten sollte:
- Schau nach, ob neben der URL ein kleines Vorhängeschloss zu sehen ist. Es besagt, dass die Website über ein gültiges TLS/SSL-Zertifikat verfügt und die gesamte Kommunikation zwischen dir und der Website verschlüsselt ist. Wenn die Angreifer nicht viel Aufwand in ihre gefälschte Website gesteckt haben, ist es wahrscheinlich, dass sie dieses Zertifikat nicht hat. Da aber jede größere Webseite über ein solches Zertifikat verfügt, ist das Fehlen von „https“ am Anfang der URL ein deutliches Warnsignal.
- Prüfe die URL. Ist es dieselbe Domäne, die du ursprünglich in deinen Browser eingegeben hast? Oder fehlen Buchstaben? Wir sind derart daran gewöhnt, „amazon.de“ zu lesen, dass es vielen wahrscheinlich gar nicht auffällt, dass an „arnazon.de“ etwas faul ist. Wenn die Domäne nicht dieselbe ist, die du zuerst besucht hast, bedeutet das, dass du umgeleitet wurdest. Hier sollte sofort Verdacht geschöpft werden — gib keine persönlichen Daten ein, bevor du dich vergewissert hast, ob du auf einer betrügerischen Website bist.
- Stimmt das Design der Marke überein? Wenn du die betreffende Website häufig besuchst oder die Marke gut kennst, solltest du in der Lage sein zu erkennen, ob etwas nicht stimmt. Sind das Logo und der Slogan noch aktuell? Passen die Bilder, Schriftarten und das allgemeine Design zu dem, was du von der Marke erwartest? Wenn dir irgendetwas verdächtig vorkommt, ist es besser, genauer nachzuforschen.
- Achte auf den Inhalt. Wenn es sich um einen persönlichen Blog handelt, könnte der eine oder andere Tippfehler dabei sein. Da große Unternehmen jedoch viel Geld für ihr Image ausgeben und offensichtliche Grammatikfehler immer einen schlechten Eindruck hinterlassen, sollte es hier keine geben. Die Angreifer investieren oft mehr Zeit in die Neugestaltung des Designs und werden beim Inhalt der Website ein wenig nachlässig. Wenn der Text also schlecht formatiert ist oder die Überschriften nicht viel Sinn ergeben, ist Vorsicht geboten.
Anhand dieser Tipps lässt sich eine gefälschte Website erkennen. Wenn du allerdings auf eine bösartige Website umgeleitet wirst, macht es keinen Unterschied, ob sie echt ist oder nicht — so kann trotzdem Malware auf dein Gerät gelangen. In einem solchen Fall solltest du das Gerät sofort scannen und sicherstellen, dass es sicher verwendet werden kann. Es gibt viele verschiedene Arten von Schadprogrammen, die deinen Laptop oder dein Smartphone infizieren können, daher ist es besser, auf Nummer sicher zu gehen.