Che cos’è il DNS Spoofing?

Il DNS Spoofing è un tipo di attacco informatico che consiste nel manipolare le associazioni tra nomi di dominio e indirizzi IP su un server DNS (Domain Name Service) per reindirizzare la vittima su siti web dannosi sotto il controllo dei cybercriminali. Questo tipo di attacco avviene solitamente nelle Wi-Fi pubbliche, ma può verificarsi in qualsiasi situazione in cui gli hacker riescano a manipolare le tabelle ARP (Address Resolution Protocol). forzando i dispositivi degli utenti presi di mira a utilizzare il sistema controllato dai cybercriminali come server di risposta per il sito web richiesto dalla vittima. Costituisce il primo passo di un sofisticato attacco phishing nelle Wi-Fi pubbliche, e può anche indurre gli utenti a installare malware sui propri dispositivi o a divulgare informazioni sensibili.

La maggior parte degli attacchi DNS spoofing avviene per mezzo di appositi strumenti creati proprio a questo scopo. I cybercriminali più avanzati addirittura sviluppano autonomamente i propri software. Qualsiasi Wi-Fi pubblica accessibile gratuitamente potrebbe diventare un bersaglio, ma questi attacchi possono essere lanciati ovunque siano presenti dispositivi connessi alla rete. Sia la rete domestica che quella aziendale potrebbero essere vulnerabili al DNS Spoofing, ma solitamente questo tipo di reti dispongono di un monitoraggio in grado di rilevare attività malevole. Le Wi-Fi pubbliche invece sono spesso mal configurate e scarsamente protette, offrendo ai cybercriminali maggiori possibilità di portare a segno i propri attacchi. Per questo motivo si consiglia di prestare particolare attenzione alla sicurezza del Wi-Fi, sia in casa che nei luoghi pubblici.

Processo di manipolazione del DNS

Quando gli hacker scoprono una Wi-Fi pubblica appetibile, procedono alla manipolazione del DNS in questo modo:

• Utilizzano l’arpspoof per indurre il dispositivo della vittima a puntare alla macchina dei cybercriminali quando l’utente digita l’indirizzo di un sito web sul proprio browser. Questo passaggio in sostanza manipola la cache del DNS sul computer dell’utente.
• Lanciano un altro comando arpspoof per indurre il server web di destinazione a pensare che l’IP del client sia in realtà l’IP della macchina dell’attaccante.
• Creano una voce sul file HOST dell’utente che fa puntare l’IP della macchina dell’attaccante al sito web di destinazione. Questo record serve nel momento in cui gli utenti richiedono il nome di dominio.
• Creano su una macchina da loro controllata, un sito web fasullo, con le stesse sembianze di quello originale.
• Raccolgono i dati delle vittime dell’attacco, inducendo loro ad autenticarsi sui siti web contraffatti.

Il termine “spoofing” indica il tentativo dei cybercriminali di ingannare la vittima utilizzando un sito web contraffatto, che abbia l’aspetto dell’originale. Data la centralità del DNS nelle comunicazioni internet, riuscire a manipolare le voci del DNS, consente ai cybercriminali di mettere in scena lo scenario di phishing perfetto per raccogliere dati riservati. Possono essere trafugate: password, informazioni bancarie, numeri di carte di credito, informazioni di contatto e dati relativi alla propria posizione geografica.

Dato che la vittime crede di visitare il sito web ufficiale, gli hacker potranno mettere a segno la propria campagna di phishing con successo. Il sito contraffatto mostra elementi dell’originale che sono riconoscibili dall’utente e, allo stesso tempo, non mostra segni che possano far sospettare la vittima della legittimità del sito. Anche ci fossero segnali di allarme, gli utenti raramente se ne accorgono, e proprio per questo lo spoofing si rivela spesso un metodo efficace per impossessarsi dei dati sensibili delle vittime.

Gli attacchi DNS Spoofing hanno solitamente come scopo quello di trafugare i dati delle vittime, e proprio per questo rappresentano una grave minaccia per la privacy dei dati. In base agli obiettivi dei cybercriminali, verrà messo a punto il sito web contraffatto. Nel caso volessero impossessarsi di informazioni bancarie, ad esempio, per prima cosa sceglieranno un sito di qualche servizio bancario popolare, ne scaricheranno il codice e i fogli di stile, per poi caricarlo sulla macchina da loro stessi controllata e utilizzata per dirottare le connessioni.

Gli ignari utenti, pensando di accedere al sito web legittimo, non si accorgono invece che sono stati dirottati sul sito web contraffatto. Normalmente i criminali non lasciano nulla al caso, testando accuratamente i propri siti fasulli prima di lanciare gli attacchi. Tuttavia occasionalmente alcuni piccoli errori possono rivelare l’illegittimità del sito contraffatto. Ad esempio, solitamente i siti contraffatti non hanno alcun certificato SSL installato, quindi la connessione avviene in chiaro. Trovarsi di fronte a una connessione non crittografata è un chiaro segnale che il sito visitato non è davvero un sito bancario. Gli stessi browser avvisano gli utenti quando una connessione non è protetta, anche se poi molti utenti ignorano l’avviso e finiscono per immettere comunque nome utente e password.

Dopo che l’utente accede al sito web contraffatto, tutte le informazioni che inserirà sul sito, inclusi password, codice fiscale, e dettagli di contatto privati, saranno inviate ai cybercriminali, che con un numero sufficiente di informazioni rubate, potrebbero ad esempio aprire altri account a nome della vittima o provare ad autenticarsi su account esistenti per rubare ulteriori informazioni o denaro.

Chiunque acceda a Internet dalla Wi-Fi pubblica è vulnerabile al DNS Spoofing. Per proteggersi, i provider Internet possono implementare la funzionalità DNSSEC (DNS security). Quando il proprietario di un dominio imposta i record DNS, il DNSSEC aggiunge una firma crittografica ai record che permette di verificare la legittimità di una risposta DNS.

Il DNS standard non è crittografato e non è concepito per garantire che le modifiche e le risposte alle richieste di lookup provengano da server e utenti legittimi. Il protocollo DNSSEC aggiunge una firma al processo di risoluzione, così da verificare gli aggiornamenti e bloccare lo spoofing del DNS. Ultimamente, l’adozione del protocollo DNSSEC sta iniziando a guadagnare particolare popolarità, data la pericolosità degli attacchi DNS spoofing per la privacy dei dati degli utenti sulle reti Wi-Fi pubbliche.

Il DNS Spoofing e il DNS Poisoning (letteralmente avvelenamento del DNS) possono sembrare simili, ma presentano in realtà alcune differenze. Entrambi mirano ad ottenere con l’inganno i dati sensibili delle vittime, ed entrambi potrebbero portare gli utenti ad installare software malevolo sui propri dispositivi. Sia lo spoofing che il poisoning del DNS rappresentano una minaccia per la privacy dei dati degli utenti e per la sicurezza della connessione tra l’utente e i siti visitati quando ci si collega ai server dalle Wi-Fi pubbliche.

Il DNS poisoning consiste nel modificare i record sui resolver o sui server DNS in cui sono memorizzati gli indirizzi IP. Ciò significa che qualsiasi utente da ovunque si colleghi sarà reindirizzato su un sito malevolo sotto il controllo dei cybercriminali, ammesso che utilizzi i record manipolati del server DNS. In base al server colpito, il DNS Poisoning può anche arrivare ad interessare gli utenti a livello globale.

Il DNS Spoofing è invece un termine più generale utilizzato per descrivere gli attacchi ai record DNS. Qualsiasi attacco che manipoli le voci DNS, indirizzando gli utenti ad accedere a un sito controllato dai cybercriminali viene considerato spoofing, compresa la manipolazione dei record. Lo spoofing può interessare anche le reti locali, in cui gli hacker manipolano i record DNS di macchine vulnerabili al fine di impossessarsi di dati personali o aziendali.