Security-Forscher warnen Firmen vor einer Welle von Domain-Kaperungen großen Ausmaßes. Hacker könnten beispielsweise bei einem gelungenen Angriff Seiten unter ihrer eigenen IP-Adresse aufsetzen und Login-Daten der Nutzer abgreifen.
Eine regelrechte Welle von DNS-Kaperungen (Domain Name System) rollt derzeit auf Unternehmen weltweit zu. Dies berichtet unter anderem der IT-Sicherheitsspezialist FireEye in einem aktuellen Blog-Beitrag.
Laut dem Bericht verwenden die Täter drei unterschiedliche Methoden, um die DNS-Einträge zu manipulieren, sodass ein Domainname auf eine andere IP-Adresse verweist als die Anschrift des Namensinhabers. Durch diese Kaperung können Hacker beispielsweise unter ihrer eigenen IP-Adresse gefälschte Seiten aufsetzen, die dann beispielsweise Login-Daten der Besucher abfangen und sammeln.
Die beschriebenen Methoden sind dabei sehr ausgefeilt. So ist es den Angreifern möglich, in den Besitz echter TLS-Zertifikate zu gelangen. Dies wiederum täuscht die von den Opfern verwendeten Browser und gaukelt diesen vor, sie besuchten eine legitime und sichere Webseite.
"Eine große Anzahl Firmen ist von diesen Mustern von DNS-Eintragsmanipulationen und gefälschten SSL-Zertifikaten betroffen", schreiben die FireEye-Forscher Muks Hirani, Sarah Jones und Ben Read in erwähntem Bericht. Darunter seien auch Fernmeldefirmen und Internet-Provider, Regierungsstellen und kommerzielle Firmen. Die Angriffe fänden global statt, und zwar "zu einem quasi nie dagewesenen Ausmaß mit einer hochgradigen Erfolgsrate", fügen die Forscher an.
Eine der von FireEye beschriebenen Angriffsmethoden beinhaltet die Änderung des DNS-A-Eintrags