DNS-kapers zijn nog steeds een grote bedreiging dat niet kan worden genegeerd door bedrijven die afhankelijk zijn van hun online aanwezigheid. Hoewel de belangrijkste doelwitten voor cyberaanvallen financiële instellingen zijn vanwege mogelijke grote winsten, moeten andere bedrijven ook zeer waakzaam zijn, omdat het hen niet alleen reputatieschade kan kosten, maar ook inkomsten kan opleveren.
Wat is DNS-kaping?
Het Domain Name System (DNS) is, zoals de naam al aangeeft, een systeem dat communicatie tussen een computer en het internet mogelijk maakt. Met andere woorden, DNS zet een leesbaar, mensvriendelijk adres, bijvoorbeeld www.example.com, om in een reeks van machine-aangepaste nummers, het IP-adres, dat vervolgens door een computer wordt gebruikt om zichzelf te identificeren en te communiceren met andere apparaten.
Het is tijdens deze identificatie dat er aanvallen kunnen plaatsvinden met behulp van een gemeenschappelijke “man-in-the-middle”-strategie: een gebruiker wordt omgeleid naar een ander IP-adres met kwaadaardige inhoud. Als gevolg daarvan wordt al het verkeer dat bestemd is voor de aangetaste websites vastgelegd en omgeleid naar de aanvallers, inclusief creditcard-, e-mail- en VPN-gegevens. De dreiging leidde tot een reactie van ICANN, die alle domeineigenaren adviseerde DNSSEC toe te passen.
2020 Global DNS Threat Report onthult enkele alarmerende statistieken: 79% van de organisaties wereldwijd heeft een aanval op hun domeinen meegemaakt, waarbij de gemiddelde kosten van een dergelijke aanval op 924.000 USD worden geschat. Ondanks het groeiende percentage bedrijven dat het belang van de bescherming van het DNS-systeem inziet (77% in 2020, vergeleken met 64% in 2019), werd nog steeds 75% van de op DNS gebaseerde aanvallen niet beschermd door zelfreagerende beveiligingsmaatregelen. Het meest voorkomende resultaat was de downtime van applicaties, maar andere gevolgen waren aangetaste websites, reputatieschade of zelfs de openbaarmaking van gevoelige informatie en uiteindelijk verlies aan omzet.
Een ander rapport over DNS-kaping verstoorde domeineigenaren in augustus 2019 toen een reeks aanvallen op het internet, uitgevoerd door een groep met de bijnaam “Zeeschildpad”, aan het licht kwam. Minstens 40 entiteiten in 13 verschillende landen werden getroffen, voornamelijk in Noord-Afrika en het Midden-Oosten, waaronder nationale veiligheidsorganisaties, ministeries van Buitenlandse Zaken, energieleveranciers, internetserviceproviders en telecommunicatiebedrijven.
De complexiteit van deze bedreigingen lag in het feit dat de aanvallers zich eerst richtten op domeinen van bedrijven die diensten leverden aan de belangrijkste slachtoffers en op die manier de beoogde domeinen konden kapen. Bovendien hebben de kapers hun acties niet stopgezet of gematigd toen ze eenmaal aan het publiek werden onthuld in rapporten waarin hun inspanningen werden beschreven. Een dergelijke gedurfde en massale invasie op het DNS roept de vraag op hoe de wereldwijde privacy van gegevens kan worden gehandhaafd en of het systeem nog wel stabiel genoeg is om betrouwbaar te zijn.
Verschillende manieren om zich te beschermen tegen domeinkaping
Het Domain Name System, dat begin jaren ’80 werd ontwikkeld, was niet voorzien van veiligheidsmaatregelen. Het economische potentieel van het internet kon niet volledig worden benut en bedrijven weigerden te investeren in online aanwezigheid zolang de gegevens en voorkennis van hun klanten werden blootgesteld aan potentiële dieven, oplichters of zelfs de concurrentie. In de loop der jaren werden vele beschermingsmechanismen en -protocollen in het DNS-netwerk geïntroduceerd, van versleuteling tot authenticatiemethoden.
DNSSEC
DNSSEC is een veiligheidskenmerk dat DNS-gegevens waarmerkt. Als uw lokale DNS-server DNSSEC ondersteunt, zijn domeinen met DNSSEC beveiligd tegen doorverwijzing naar een phishing-website, zoals een bank of online winkel en de wachtwoorden en betaalkaartgegevens die daar aan vastzitten.
Hoewel deze methode geen bescherming biedt tegen allerlei soorten aanvallen op de domeinstructuur, wordt het “man-in-the-middle”-type geblokkeerd door een extra laag van verificatie van de server.
REGISTRAR LOCK
Een type beveiligingscode die door de Registrar op een domein kan worden toegepast en die het mogelijk maakt de gegevens van een domeinnaam te bevriezen. Het beschermt de domeineigenaar tegen ongewenste en ongeoorloofde wijzigingen van de domeinnaam. Wanneer het wordt gebruikt, staat het een verhuizing van de domeinnaam niet toe. Het maakt het ook onmogelijk om de contactgegevens van de domeinnaam te wijzigen.
REGISTRY LOCK
Authenticatiesysteem van de Registry dat een lock op de informatie van de domeinnaam plaatst. Registry Lock is bedoeld voor gebruikers die veel waarde hechten aan de veiligheid van hun domeinnamen. Het vermindert het risico van domeinkaping, zowel technisch als administratief. Het ontgrendelen van een domeinnaam is een sterk beveiligd handmatig proces dat alleen kan worden uitgevoerd na een grondige verificatie via e-mail of telefoon.
DNS over HTTPS (DoH)
DoH verhoogt de veiligheid door het minimaliseren van het risico op het bespioneren van de online activiteiten van gebruikers. Door de berichten die tussen de server en de computer van een gebruiker worden verzonden te versleutelen, maakt DoH het moeilijk voor een “man-in-the-middle” om uw online activiteit te volgen en u eventueel om te leiden naar een website die malware of spionage- en phishingsoftware bevat. Het beschermt uw communicatie met DNS door de introductie van een HTTPS-protocol voor het verzenden van query’s, in tegenstelling tot ongecodeerde en transparante informatie die door DNS zelf wordt verzonden.
DNS over TLS (DoT)
Net als DNS over HTTPS is DoT een andere methode om de communicatie tussen uw apparaat en de server te versleutelen. Het maakt gebruik van algoritmen die een platte tekst omzetten in een gecodeerd bericht dat onmogelijk te lezen is door een derde partij. De gegevens worden tijdens het transport gecodeerd zoals de naam Transport Layer Security (TLS) aangeeft en kunnen dus niet door aanvallers worden gemanipuleerd. Als TLS, beter bekend als SSL, wordt toegepast op uw internetverbinding, verschijnt het in het browseradres het symbool van een hangslot.
ANYCAST DNS
In tegenstelling tot unicast DNS maakt anycast DNS communicatie met veel servers mogelijk via hetzelfde IP-adres, waardoor het hele proces veel sneller verloopt. Afhankelijk van de geolocatie wordt er automatisch gezocht naar de dichtstbijzijnde beschikbare server, waardoor de prestaties worden verbeterd en geoptimaliseerd. Dit beveiligingsmechanisme voorkomt distributed denial-of-service attacks (DDoS) die plaatsvinden wanneer een webserver wordt overspoeld waardoor het systeem wordt overbelast en de service wordt verstoord. Anycast DNS beschermt de gebruiker tegen DDoS-aanvallen door het verkeer over meerdere servers te verspreiden.
EBRAND is er om u te adviseren over de beste manier om uw belangrijke domeinnamen te beveiligen. Onze experts helpen u om uw merk online te beschermen en zorgen ervoor dat uw gegevens privé blijven. Voorkom risico en laat u door ons begeleiden bij het beveiligen van uw domeinnamen en websites, van het uitvoeren van kwetsbaarheidstests tot het toepassen van de best beschikbare oplossingen voor uw domeinnamen.
