Was ist DNS Spoofing?

DNS Spoofing ist ein Sammelbegriff in der IT-Sicherheit für schadhafte DNS-Manipulationen, die auf eine Umleitung von Internetnutzern auf eine bestimmte Ressource abzielen. Zu DNS Spoofing zählen etwa Attacken mittels DNS Cache Poisoning, bei dem manipulierte Einträge in den DNS Cache von Nameservern geschmuggelt werden. Daneben gibt es aber noch viele weitere Möglichkeiten zur böswilligen Sabotage des Domain Name System.

01

DNS Spoofing: eine Definition

Sobald Cyberkriminelle das DNS zur böswilligen Traffic-Weiterleitung missbrauchen und dabei beabsichtigen, potenzielle Opfer auf gefälschte und/oder schädliche Inhalte umzuleiten, spricht man von DNS Spoofing. Der Begriff „Spoofing“ stammt aus dem Englischen und bedeutet übersetzt Vortäuschung. Der Name ist bei diesem Angriffsvektor Programm. In den allermeisten Fällen nutzen Cyberkriminelle DNS Spoofing für Phishing-Attacken, um sensible Zugangsdaten von Nutzern abzugreifen. Besonders gefragt sind etwa Login-Informationen von Banken oder Payment-Diensten.

Für die Umleitung sabotieren die Angreifer das DNS, das im übertragenen Sinne als Telefonbuch des Internets dient und die Zuordnung von Domainnamen zu den dazugehörigen IP-Adressen der Webserver verwaltet.

Die korrekte Zuordnung ist in den DNS-Einträgen gespeichert, die von Nameservern weltweit zur Verfügung gestellt und lokal auf Routern und Computern im Cache temporär zwischengespeichert werden. Gelingt es Angreifern, innerhalb dieser Informationskette fehlerhafte Einträge einzuschleusen, sei es nun lokal auf dem Computer eines Anwenders oder direkt auf einem Nameserver, können sie den Traffic nach Belieben steuern und umleiten. Da die Übertragung von DNS-Anfragen in der Regel unverschlüsselt erfolgt, haben Angreifer hier zahlreiche Möglichkeiten für schadhafte Eingriffe.

DNS Spoofing zählt zu den sogenannten Man-in-the-Middle-Angriffen (kurz MITM), bei denen sich Cyberkriminelle unbemerkt in die digitale Kommunikation zwischen Nutzern und Diensten einklinken.

02

Welche Bedrohungen gehen von DNS Spoofing aus?

Abhängig davon, wo und in welcher Form es zu schadhaften DNS-Manipulationen per Spoofing kommt, variieren auch die Bedrohungsszenarien. Zumeist nutzen Cyberkriminelle DNS Spoofing, um Zugangsdaten auf gefälschten Webseiten abzugreifen oder um Schadsoftware für weitere Angriffe einzuschleusen. In der Vergangenheit wurden Anwender des Öfteren auf Fake-Portale von Banken, Payment-, Webmail- und anderen Online-Diensten weitergeleitet. Hackergruppen haben zudem schon Behörden und Regierungsorganisationen mittels DNS-Spoofing-Attacken ins Visier genommen. Entsprechend reicht das Spektrum der von diesem Angriffsvektor ausgehenden Bedrohungen von simplem Phishing bis hin zu ausgeklügelter Industriespionage und politischer Manipulation. Bei Letzterem bildet das DNS Spoofing meist nur ein kleines Teilstück einer komplexen APT-Attacke (Advanced Persistent Threat) durch staatliche Akteure. Auch autoritäre Regime greifen gerne auf DNS Spoofing und andere Methoden zurück, um die eigene Bevölkerung gezielt von brisanten Inhalten im Internet fernzuhalten.

In manchen Fällen wird DNS Spoofing aber auch dazu eingesetzt, um geltendes Recht durchzusetzen und Portale mit illegalen Inhalten vom Netz zu nehmen. So ist beispielsweise der deutsche Netzbetreiber Vodafone vorgegangen, um den Zugang zur illegalen Streaming-Plattform kinox.to zu kappen. Datenschützer missbilligen allerdings ein solches Vorgehen, da es auch als aktive Internetzensur auslegbar ist.

03

Welche Formen von DNS Spoofing gibt es?

DNS Spoofing ist technisch über viele Wege realisierbar. Generell werden unter diesem Angriffsvektor alle Formen von Attacken aufgeführt, die gültige DNS-Einträge kompromittieren, um den Betroffenen unbemerkt auf andere Inhalte im Internet umzuleiten. Zu den geläufigsten Methoden für DNS Spoofing zählen:

DNS Cache Poisoning

Eine Form von DNS Spoofing ist das sogenannte DNS Cache Poisoning. Dabei zielen Angreifer darauf ab, die DNS-Einträge im Speicher von Endgeräten, Routern und Servern zu manipulieren. Hierzu ändern Cyberkriminelle über Sicherheitslücken die DNS-Einträge von Nameservern, die dann in den Cache von anfragenden Servern und Endgeräten geladen und weitergegeben werden.

DNS Hijacking

Für das sogenannte DNS Hijacking kommt Schadsoftware zum Einsatz, die Cyberkriminelle auf Routern und Endgeräten wie PCs oder Tablets einschleusen. Diese Malware modifiziert die auf den Geräten gespeicherten Verbindungseinstellungen, um Nutzer unbemerkt auf schädliche Webseiten umzuleiten. Ein populäres Beispiel für eine solche Schadsoftware ist der Windows-Trojaner Win32/DNSChanger. Die ausführbare EXE-Datei ist nur wenige KByte groß und manipuliert die DNS-Einstellungen des Systems zur heimlichen Traffic-Weiterleitung. Zu den Zielen der Angreifer zählt neben Phishing auch Klickbetrug. Hierfür werden die betroffenen Anwender gezielt auf Pay-per-Click-Banner geleitet, was wiederum Einnahmen für die Cyberkriminellen generiert.

Ablauf einer DNS Spoofing Attacke

04

Welche Schutzmaßnahmen eignen sich gegen DNS Spoofing?

Die DNS-Namensauflösung lässt sich über viele Wege vor manipulativen Eingriffen bewahren. Beispielsweise kann die Übertragung der DNS-Anfragen über Cookies gesichert werden, welche die Authentizität und Integrität von Clients, Servern und den dazwischen übertragenen Daten sicherstellen. Ebenso verspricht die Implementierung der DNSSEC-Technologie Schutz vor DNS Spoofing.

Der Einsatz aktueller und gepflegter Software auf Nameserver, Routern und sämtlichen Endgeräten erschwert ebenso eine schadhafte DNS-Manipulation. Cyberkriminelle und Schadsoftware finden auf gepatchten Systemen weitaus weniger Angriffspunkte für ihre Attacken.

Netzwerkverbindungen

05

DNS Spoofing: Das müssen Sie wissen

Mittels DNS Spoofing manipulieren Cyberkriminelle gezielt DNS-Einträge auf Servern,  Routern, PCs und Mobilgeräten, wodurch Anwender auf meist schädliche Webinhalte umgeleitet werden. In den meisten Fällen dienen die Angriffe dazu, wertvolle Login-Daten per Phishing abzugreifen, Schadsoftware zu verbreiten oder Einnahmen durch Klickbetrug zu generieren. Daneben greifen auch autoritäre Regime oftmals auf Spoofing-Methoden zurück: Unliebsame Portale im Internet können durch Manipulationen bei den Internet-Dienstanbietern unkompliziert zensiert werden. Als Abwehrmethoden haben sich mitunter DNS-Erweiterungen wie DNS-Cookies oder DNSSEC bewährt, die zur Authentifizierung und Integritätsprüfung von Clients, Servern und Daten eingesetzt werden.

Die Myra-DNS-Infrastruktur unterstützt den Einsatz von DNS-Cookies und DNSSEC zum Schutz vor Cache Poisoning.