Was versteht man unter DNS-Spoofing?

Ihr Browser ist nicht in der Lage, diese Domäne zu finden — er muss einen DNS-Server kontaktieren, um Sie hierher zu bringen. Und selbst wenn Sie tatsächlich mit der richtigen Website verbunden waren, kann ein DNS-Spoofing-Angriff Sie ganz woanders hinbringen. Hier erfahren Sie, worum es sich dabei handelt und wie Sie sich davor schützen können.

Was ist DNS?

Um DNS-Spoofing zu verstehen, müssen Sie zunächst wissen, was DNS-Server sind.

Jede Website im Internet hat einen Domänennamen und eine eindeutige IP-Adresse, die mit ihr verknüpft ist. Unsere Browser können nur anhand von IP-Adressen navigieren. Diese sind jedoch mindestens acht Ziffern lang (mehr, wenn die Website IPv6 verwendet), was ihre Verwendung unpraktisch macht und wodurch sie für den Einzelnen schwer zu merken sind. Aus diesem Grund verwenden wir Domänennamen für einen leichteren Zugang — wie nordpass.com für NordPass. Und wir speichern die Domäne und die IP-Adresse jeder Website auf einem DNS-Server, auf den unsere Browser im Bedarfsfall jederzeit zugreifen können.

Wann immer Sie also eine Website aufrufen wollen, geben Sie den Domänennamen ein und Ihr Browser kontaktiert einen DNS-Server, um die IP-Adresse dieser Domäne zu erfragen. Falls sie in der Datenbank des Servers vorhanden ist, sendet er sie zurück und Ihr Browser verbindet Sie mit der Website. Der DNS-Server verfügt jedoch nur über Adressen, die in seinem Netz am häufigsten verwendet werden. Erhält der Server eine Anfrage für einen Domänennamen, der nicht in seiner Datenbank enthalten ist, wendet er sich an einen anderen DNS-Server und fragt nach dem Namen. Nachdem der Domänenname an Sie zurückgeschickt wurde, speichert ihn Ihr lokaler Server zusammen mit der entsprechenden IP-Adresse für eine kurze Zeit in seinem Cache.

Ebenso prüft Ihr Browser seinen eigenen lokalen Cache, bevor er den DNS-Server kontaktiert. Wenn Sie dieselbe Domäne kürzlich besucht haben, wird ihre IP-Adresse dort gespeichert. Auf diese Weise muss Ihr Browser keine neue Anfrage an den DNS-Server senden und die Verbindung ist etwas schneller.

So funktioniert DNS-Spoofing

Angreifer nutzen DNS-Spoofing-Angriffe (auch DNS-Poisoning genannt), um Internetnutzer auf gefälschte Websites umzuleiten, die genauso aussehen wie die echten. Die meisten bekommen davon gar nichts mit und nutzen diese Websites wie gewohnt. Cyberkriminelle versuchen auf diese Weise, Informationen über ihre Opfer zu erlangen (z. B. deren Anmeldeinformationen) oder Malware auf deren Geräten zu installieren.

Hacker verwenden manchmal auch DNS-Spoofing, um DDoS-Angriffe durchzuführen. Sie leiten die Benutzer von mehreren Websites auf die anvisierte Website um, welche dann abstürzt, weil sie der Last nicht gewachsen ist.

Es gibt einige DNS-Schwachstellen, die von Cyberkriminellen für verschiedene Angriffe ausgenutzt werden können:

Cache Poisoning

Dies ist eine der beliebtesten Methoden des DNS-Spoofing. Cache Poisoning ist nicht nur dazu geeignet, Benutzer dorthin umzuleiten, wo der Angreifer sie haben will — es ermöglicht auch, die Caches anderer DNS-Server zu beschädigen und die gefälschte IP-Adresse zu verbreiten. Der Angreifer fügt die gefälschte IP-Adresse in den Cache ein und der Server übermittelt sie jedes Mal, wenn ein Benutzer sie anfordert.

Auf diese Weise erhält jeder Server, der eine Anfrage nach der IP dieser Domäne sendet, auch eine gefälschte IP und speichert sie in seinem Cache. Der gefälschte DNS-Eintrag wird dann für eine gewisse Zeit – zwischen einigen Stunden und einem ganzen Tag – im Cache gespeichert.

Hacken des DNS-Servers

Diese Methode ähnelt dem Cache Poisoning — auch hier wird eine gefälschte IP-Adresse auf dem Server platziert. Allerdings ist es nicht leicht, einen Server dazu zu bringen, einen betrügerischen Datensatz im Cache zu speichern. Die Angreifer benötigen die Anmeldeinformationen eines echten Benutzers, um in einen DNS-Server einzudringen. Diese erhalten sie in der Regel durch Keylogging-Malware, Phishing oder Man-in-the-Middle-Angriffe. Diese Art von DNS-Spoofing ist zwar recht schwierig, aber die gefälschte IP-Adresse landet direkt in der Datenbank des Servers und bleibt dort, und nicht in einem Cache, der schnell abläuft.

Twitter wurde 2009 Opfer eines solchen Angriffs, als iranische Cyberkriminelle den gesamten Datenverkehr auf ihre Website umleiteten. Twitter hat jedoch nie erklärt, wie es den Angreifern gelungen ist, die Anmeldeinformationen eines seiner Mitarbeiter abzugreifen.

Man-in-the-Middle-Angriff

Wenn es einem Angreifer gelingt, die Kommunikation eines Benutzers mit dem DNS-Server abzufangen, kann er auf dessen Anfragen mit einer IP-Adresse antworten, die zu einer gefälschten oder bösartigen Website führt. Um unbemerkt an Informationen zu gelangen, erstellen die Angreifer eine Kopie einer echten Website (soziales Netzwerk, Onlineshop, E-Mail-Dienst usw.). Einige betrügerische Websites sind so ausgefeilt, dass es schwierig sein kann, sie von den Originalen zu unterscheiden. Manche Fälschungen hingegen sind geradezu absurde Versuche, anderen etwas vorzumachen, wie z. B. das Outlet einer beliebten Bekleidungsmarke, das aussieht, als sei es mit MS Paint entworfen worden.

Wie vermeidet man DNS-Spoofing?

Für Unternehmen gibt es verschiedene Möglichkeiten, DNS-Server zu schützen, wobei DNSSEC (Domain Name System Security Extensions) eine der beliebtesten Methoden ist. Mithilfe der Public-Key-Kryptografie werden IP-Adressen authentifiziert, ihre Herkunft überprüft und sichergestellt, dass sie während der Übertragung nicht manipuliert wurden.

Der normale Internetnutzer jedoch kann leider nicht viel tun, um DNS-Spoofing zu verhindern. Es gibt auch keine Möglichkeit zu überprüfen, ob die IP-Adresse, die der DNS-Server gesendet hat, echt ist oder durch eine andere ersetzt wurde. Die Lage ist jedoch nicht gänzlich hoffnungslos. Es gibt zahlreiche Anzeichen für gefälschte Websites, auf die man achten sollte:

• Schauen Sie nach, ob neben der URL ein kleines Vorhängeschloss zu sehen ist. Es besagt, dass die Website über ein gültiges TLS/SSL-Zertifikat verfügt und die gesamte Kommunikation zwischen Ihnen und der Website verschlüsselt ist. Wenn die Angreifer nicht viel Aufwand in ihre gefälschte Website gesteckt haben, ist es wahrscheinlich, dass sie dieses Zertifikat nicht hat. Da aber jede größere Website über ein solches Zertifikat verfügt, ist das Fehlen von „https“ am Anfang der URL ein deutliches Warnsignal.

• Prüfen Sie die URL. Ist es dieselbe Domäne, die Sie ursprünglich in Ihren Browser eingegeben haben? Oder fehlen Buchstaben? Wir sind derart daran gewöhnt, „amazon.de“ zu lesen, dass es vielen wahrscheinlich gar nicht auffällt, dass an „arnazon.de“ etwas faul ist. Wenn die Domäne nicht dieselbe ist, die Sie zuerst besucht haben, bedeutet das, dass Sie umgeleitet wurden. Hier sollte sofort Verdacht geschöpft werden — geben Sie keine persönlichen Daten ein, bevor Sie sich vergewissert haben, ob Sie auf einer betrügerischen Website sind.

• Stimmt das Design der Marke überein? Wenn Sie die betreffende Website häufig besuchen oder die Marke gut kennen, sollten Sie in der Lage sein zu erkennen, ob etwas nicht stimmt. Sind das Logo und der Slogan noch aktuell? Passen die Bilder, Schriftarten und das allgemeine Design zu dem, was Sie von der Marke erwarten? Wenn Ihnen irgendetwas verdächtig vorkommt, ist es besser, genauer nachzuforschen.

• Achten Sie auf den Inhalt. Wenn es sich um einen persönlichen Blog handelt, könnte der eine oder andere Tippfehler dabei sein. Da große Unternehmen jedoch viel Geld für ihr Image ausgeben und offensichtliche Grammatikfehler immer einen schlechten Eindruck hinterlassen, sollte es hier keine geben. Die Angreifer investieren oft mehr Zeit in die Neugestaltung des Designs und werden beim Inhalt der Website ein wenig nachlässig. Wenn der Text also schlecht formatiert ist oder die Überschriften nicht viel Sinn ergeben, ist Vorsicht geboten.

Anhand dieser Tipps lässt sich eine gefälschte Website erkennen. Wenn Sie allerdings auf eine bösartige Website umgeleitet werden, macht es keinen Unterschied, ob sie echt ist oder nicht — so kann trotzdem Malware auf Ihr Gerät gelangen. In einem solchen Fall sollten Sie das Gerät sofort scannen und sicherstellen, dass es sicher verwendet werden kann. Es gibt viele verschiedene Arten von Schadprogrammen, die Ihren Laptop oder Ihr Smartphone infizieren können, daher ist es besser, auf Nummer sicher zu gehen.