Quando la rubrica telefonica di internet viene manipolata. Il tuo traffico finisce dove vuole l'attaccante, senza che tu te ne accorga.
Per capire il DNS poisoning, pensa al DNS come alla rubrica telefonica di internet. Quando digiti “mailsniper.it” nel browser, il tuo computer chiede al DNS: “a quale indirizzo IP corrisponde questo nome?”. Il DNS risponde con l'indirizzo giusto, e il browser si collega.
Il DNS poisoning (o cache poisoning) e un attacco in cui qualcuno modifica le risposte nella “rubrica”. Invece di indirizzarti al server vero, ti manda su un server controllato dall'attaccante. E tu non te ne accorgi, perche nella barra degli indirizzi vedi sempre il nome corretto.
E come se qualcuno modificasse il numero di telefono del tuo fornitore nella tua rubrica. Tu chiami quel numero convinto di parlare con il fornitore, ma all'altro capo c'e un truffatore. E la stessa cosa, ma con il traffico internet e le email.
Il DNS poisoning sfrutta una debolezza strutturale del protocollo DNS. Ecco come si svolge:
L'attaccante sceglie quale dominio vuole dirottare. Potrebbe essere il tuo server email, il portale della banca o qualsiasi sito web. L'obiettivo e' inserire un record DNS falso nella cache di un resolver.
Il DNS funziona con richieste e risposte UDP, senza una vera autenticazione. L'attaccante invia migliaia di risposte DNS false al resolver, cercando di "indovinare" l'ID della transazione legittima. Se ci riesce prima del server DNS vero, la risposta falsa viene accettata.
Una volta che il resolver accetta la risposta falsa, la memorizza nella sua cache. Da quel momento, tutti gli utenti che usano quel resolver verranno reindirizzati al server dell'attaccante. E la cache puo' restare avvelenata per ore o giorni.
Le vittime finiscono su server controllati dall'attaccante senza saperlo. Qui possono essere intercettate le credenziali di login, le email possono essere lette e modificate, o il malware puo' essere distribuito. Nel caso delle email, i record MX avvelenati possono reindirizzare tutta la posta in arrivo.
Il DNS poisoning ha diverse varianti, ognuna con un approccio leggermente diverso:
La forma classica: corrompere la cache di un resolver DNS pubblico o aziendale. Un singolo resolver avvelenato puo colpire migliaia di utenti simultaneamente.
Termine spesso usato come sinonimo, ma tecnicamente si riferisce alla falsificazione delle risposte DNS in transito, tipicamente in un attacco man-in-the-middle.
L'uso del DNS poisoning per reindirizzare gli utenti verso siti di phishing. Invece di inviare un link falso via email, l'attaccante corrompe il DNS: digiti l'URL giusto, ma finisci sul sito sbagliato.
La variante piu pericolosa per le email: l'attaccante avvelena i record MX (Mail eXchange) del tuo dominio. Risultato? Tutte le email destinate alla tua azienda finiscono su un server dell'attaccante.
Il DNS poisoning non e solo un problema per i siti web. Per le email aziendali, le conseguenze possono essere devastanti:
delle email possono essere intercettate se i record MX vengono avvelenati
errori visibili per la vittima: le email sembrano funzionare normalmente
e DKIM diventano inutili se il DNS e avvelenato: i record di verifica puntano al server sbagliato
Immagina: un cliente ti invia un'email con dati sensibili. Ma il DNS e avvelenato, e quell'email arriva sul server dell'attaccante. Il cliente e convinto di averla inviata a te. Tu non la ricevi mai. E l'attaccante ha tutte le informazioni. Verifica subito la configurazione DNS del tuo dominio con il nostro strumento Verifica DNS.
La protezione dal DNS poisoning richiede interventi sia a livello di infrastruttura DNS che di sicurezza email:
MailSniper aggiunge livelli di protezione che funzionano anche quando il DNS non e affidabile:
MailSniper esegue verifiche sui record di autenticazione email usando resolver DNS sicuri e ridondanti, riducendo il rischio di affidarsi a cache avvelenate.
Anche se il DNS e' compromesso, l'analisi comportamentale e reputazionale del mittente rileva anomalie: un server sconosciuto che improvvisamente invia email per un dominio noto viene segnalato.
I link che puntano a server malevoli (magari raggiunti tramite DNS poisoning) vengono analizzati in sandbox prima che l'utente possa cliccarli.
Il nostro tool gratuito ti permette di controllare in qualsiasi momento che i record DNS del tuo dominio (MX, SPF, DKIM, DMARC) siano corretti e non manipolati.
Il DNS poisoning e' spesso il primo passo per un attacco man-in-the-middle sulle comunicazioni email.
Falsificazione del mittente email, resa ancora piu' efficace quando il DNS e' compromesso.
Il record SPF verifica i server autorizzati a inviare email, ma dipende dall'integrita' del DNS.