Cos'è il DNS spoofing?

Pochi minuti fa, hai deciso di visitare nordpass.com. Hai digitato l'URL nel browser e puf! Si è aperta questa pagina. Hai mai pensato cosa succede dietro le quinte?

Da solo, il tuo browser non sa come trovare questo dominio: ha bisogno di contattare un server DNS per portarti fino qui. Anche in caso di connessione al sito corretto, un attacco di DNS spoofing potrebbe indirizzarti altrove. Scopri di cosa si tratta e come proteggerti.

Cos'è il DNS?

Per comprendere il DNS spoofing, bisogna innanzitutto sapere cosa sono i server DNS.

Ogni sito web presente su internet ha un nome di dominio e un indirizzo IP univoco a esso collegato. I nostri browser possono navigare solo utilizzando gli indirizzi IP. Il problema è che sono lunghi almeno otto cifre (o di più se il sito utilizza il protocollo IPv6), il che li rende poco pratici da usare e difficili da ricordare. Pertanto, utilizziamo i nomi di dominio per un accesso più semplice, come nordpass.com per NordPass. Inoltre, memorizziamo il dominio e l'indirizzo IP di ogni sito web in un server DNS a cui i nostri browser possono accedere ogni volta che ne abbiamo bisogno.

Quindi, quando vuoi visitare un determinato sito, inserisci il nome del dominio e il tuo browser contatta un server DNS per richiederne l'indirizzo IP. Se il server lo trova nel suo database, lo rinvierà al tuo browser che ti connetterà al sito web. Tuttavia, il server DNS possiede solo gli indirizzi più popolari nella sua rete. Se riceve una richiesta per un nome di dominio che non si trova nel suo database, contatterà un altro server DNS che lo richiederà. Dopo averlo rinviato, il server locale memorizzerà, per un breve periodo di tempo, il nome di dominio e l'indirizzo IP corrispondente nella sua cache.

Allo stesso modo, il browser controllerà la propria cache locale prima di contattare il server DNS. Se hai visitato lo stesso dominio di recente, il suo indirizzo IP sarà memorizzato lì. Così facendo, il browser non ha bisogno di inviare una nuova richiesta al server DNS e la connessione avviene un po' più velocemente.

Come funziona il DNS spoofing

I malintenzionati utilizzano il DNS spoofing (chiamato anche "avvelenamento della cache DNS") per reindirizzare gli utenti di internet a falsi siti web, all'apparenza esattamente uguali all'originale. Spesso non ci accorgiamo di nulla e utilizziamo il sito web come di consueto. I criminali informatici lo fanno per ottenere informazioni sulle loro vittime (come le credenziali di accesso) o installare malware sui loro dispositivi.

Gli hacker a volte utilizzano il DNS spoofing anche per eseguire attacchi DDoS. Reindirizzano gli utenti da più siti web verso quello preso di mira, che non riesce a gestire il carico e si blocca.

Ci sono alcune vulnerabilità DNS che i criminali informatici possono sfruttare con diversi attacchi:

Avvelenamento della cache DNS

È uno dei metodi di DNS spoofing più utilizzati. Il cache poisoning (o avvelenamento della cache) non è solo efficace nel reindirizzare gli utenti dove vuole l'aggressore, ma consente anche di corrompere le cache di altri server DNS e diffondere un indirizzo IP falso. L'utente malintenzionato inserisce l'IP fraudolento nella cache e il server inizia a inviarlo ogni volta che un utente lo richiede.

In questo modo, qualsiasi server che invia una richiesta per l'IP di questo dominio ne riceverà anche uno falso e lo memorizzerà nella sua cache. La voce DNS falsificata rimane nella cache fino alla scadenza, che può essere di poche ore o un giorno intero.

Forzare l'accesso al server DNS

Questo metodo, simile al cache poisoning, si basa anche sull'inserimento di un indirizzo IP falso nel server. Tuttavia, non è semplice come ingannare un server affinché memorizzi un registro fraudolento nella cache. Gli aggressori devono disporre di credenziali utente valide per accedere a un server DNS. Di solito, le ottengono sfruttando i malware keylogger, il phishing o attacchi "man-in-the-middle". Questo tipo di DNS spoofing è difficile da effettuare, ma l'indirizzo IP falso finisce direttamente nel database del server e, invece di essere inserito in una cache che scade rapidamente, rimane lì.

Twitter divenne oggetto di questo tipo di attacco nel 2009, quando criminali informatici iraniani reindirizzarono tutto il traffico al loro sito. Tuttavia, Twitter non ha mai rivelato come gli aggressori fossero riusciti a ottenere le credenziali di uno dei suoi dipendenti.

Attacco MITM (man in the middle)

Quando un malintenzionato riesce a intercettare la comunicazione di un utente con il server DNS, può rispondere alle sue query con un indirizzo IP che porta a un sito web falso o pericoloso. Quando l'aggressore cerca di ottenere informazioni senza che la vittima si accorga di nulla, crea una copia di un sito reale (un social network, un negozio online, un servizio di posta elettronica, ecc.). Alcuni siti web fraudolenti sono così ben fatti che può essere difficile distinguerli dall'originale. Tuttavia, alcuni falsi sono tentativi assurdi di ingannare le persone, come l'outlet di un noto marchio di abbigliamento che sembra progettato con MS Paint.

Come si può prevenire il DNS spoofing?

Esistono diversi modi in cui le organizzazioni possono proteggere i server DNS, e DNSSEC (Domain Name System Security Extensions) è uno dei più popolari. Utilizza la crittografia a chiave pubblica per autenticare gli indirizzi IP, verificarne l'origine e assicurarti che nessuno li abbia manomessi durante il transito.

Purtroppo, non c'è molto che i normali utenti di internet possano fare per fermare il DNS spoofing. Inoltre, non hanno modo di verificare se l'indirizzo IP che il server DNS ha inviato è autentico o sia stato sostituito con un altro. Ma non tutto è perduto. Quando si tratta di siti web falsi, vi sono numerosi segnali rivelatori da tenere d'occhio:

• Verifica se è presente un'icona del lucchetto accanto all'URL. Ciò significa che il sito web possiede un certificato TLS/SSL valido e tutte le comunicazioni tra te e il sito web sono crittografate. Se gli aggressori non si sono impegnati più di tanto a creare un sito falso, è probabile che questo certificato non ci sia. Dato che qualsiasi pagina web importante lo possiede, l'assenza di "https" all'inizio dell'URL equivale a un enorme campanello d'allarme.
• Controlla l'URL. È lo stesso dominio che hai digitato nel tuo browser o mancano alcune lettere? I nostri occhi sono così abituati a leggere "amazon.com" che molti potrebbero anche non notare che c'è qualcosa di sbagliato con "arnazon.com". Se il dominio non è lo stesso che hai visitato inizialmente, sei in presenza di un reindirizzamento. Fai attenzione e non inserire alcuna informazione personale prima di verificare che non si tratti di una truffa.
• È in linea con il marchio? Se visiti spesso quel particolare sito o conosci bene il brand, dovresti essere in grado di capire se qualcosa non va. Il logo e lo slogan sono aggiornati? Le immagini, i font e il design complessivo sono in linea con ciò che ti aspetti? Se c'è qualcosa di strano, è meglio indagare ulteriormente.
• Presta attenzione ai contenuti. Se si tratta di un blog personale, potrebbero esserci alcuni errori di battitura. Tuttavia, le grandi aziende spendono un sacco di soldi per la loro immagine, e la presenza di evidenti errori grammaticali non rispecchierebbe certo il marchio. Gli aggressori spesso dedicano molto tempo a ricreare il design ma sono più pigri quando si tratta dei contenuti. Quindi, se il testo è redatto male o i titoli non hanno molto senso, procedi con cautela.

Questi suggerimenti ti aiuteranno a identificare un sito web falso. Tuttavia, se si viene reindirizzati a un sito pericoloso, non fa differenza se è reale o meno: il malware potrebbe comunque colpire il tuo dispositivo. In tal caso, analizzalo immediatamente per accertarti che sia sicuro da usare. Esistono diversi tipi di programmi pericolosi che possono infettare il tuo laptop o smartphone, quindi è meglio restare al sicuro.