DNS劫持攻击一直是全球互联网安全领域的棘手课题,这种被称为“高级黑”的攻击曾制造震惊全球的“巴西银行瘫痪”及“百度域名被劫持”事件,至今回想仍让人心有余悸。而在个人上网安全领域,利用宽带路由器缺陷劫持DNS而发动钓鱼欺诈攻击,仍是“黑客”吸金的惯用手段。
日前,国内DNS服务提供商114DNS通过其官方微博发出安全预警,称新一轮DNS钓鱼攻击已经突破国内安全防线,或已导致数百万用户感染。随即,某安全软件厂商对此消息予以了证实,称已监测到约有4%的全网用户可能已经处于此次DNS钓鱼攻击威胁当中。若按全网用户2亿规模估算,每天受到此次DNS钓鱼攻击的用户已达到800万,而如此大规模的DNS钓鱼攻击在以往十分罕见,可能是史上最大规模黑客攻击。
(DNS的工作原理及DNS劫持钓鱼路径图)
据该厂商的安全团队对此类被篡改的DNS追踪发现,部分被篡改的DNS被指向钓鱼欺诈IP同来自于境外某机房;与发生在2010年的“百度域名劫持事件”不同,此次DNS钓鱼攻击多被指向仿冒的“钓鱼网站”,并以骗取网民的账号密码及银行账户等为目的,由此可判断此为一次“有组织”的黑客集团钓鱼行动。
“此类DNS钓鱼攻击具有极强的隐蔽性,且不容易被用户感知,用户一旦被感染,其被骗的风险极高。”114DNS平台负责人表示,此次被发现的DNS劫持事件要远比以往严重,黑客利用宽带路由器缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面没有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。
延伸阅读:
巴西最大银行曾遭遇DNS攻击,1%用户被钓鱼
巴西一家最大银行Bandesco巴西银行,2009年曾遭受DNS缓存病毒攻击,成为震惊全球的““银行劫持案”。受到影响的用户会被重定向至一个假冒的银行网站,该假冒网站试图窃取用户密码并安装恶意软件。DNS缓存病毒攻击是利用互联网域名系统中的漏洞进行的,没有及时打补丁的ISP很容易受到攻击。合法的IP会被某个网站给取代,即使终端用户输入正确的网址也会被重定向至那些恶意网站。有近1%的银行客户受到了攻击,如果这些客户注意到了银行SSL证书在被重定向时出现的错误提示,就不会上当受骗。
DNS劫持曾制造2010年“百度域名被劫持”事件
2010年1月12日上午7时40分,有网民发现百度首页登陆发生异常情况。上午8时后,在中国内地大部分地区和美国、欧洲等地都无法以任何方式正常登陆百度网站,而百度域名baidu.com的WHOIS传输协议被无故更改,网站的域名被更换至雅虎属下的两个域名服务器,部分网民更发现网站页面被篡改成黑色背景以及伊朗国旗,同时显示“This site has been hacked by Iranian Cyber Army”(该网站已被伊朗网军入侵)字样以及一段阿拉伯文字,然后跳转至英文雅虎主页,这就是“百度域名被劫持”事件。
