Vielleicht hast du schon einmal von Spoofing gehört – ein Sammelbegriff für verschiedene betrügerische Praktiken. Eine dieser Praktiken ist DNS-Spoofing – eine besonders hinterhältige Cyber-Attacke, die darauf abzielt, Benutzer auf eine gefälschte Website umzuleiten, die dem Original sehr ähnlich sieht und darauf abzielt, Passwörter oder andere sensible Informationen zu stehlen. Dies wird erreicht, indem ein bekannter DNS-Server manipuliert wird und falsche Daten speichert. Um zu verstehen, wie das im Detail funktioniert und wie man sich vor DNS-Spoofing schützen kann, lies weiter.
Was ist DNS-Spoofing?
Stell dir vor, du bist in London und hast von einem Café gehört, das dir empfohlen wurde. Du gibst die Adresse in einer Karten-App ein und lässt dich von der Anwendung zum Café navigieren. Doch als du an der Adresse ankommst, stehst du statt vor dem Café vor einem Supermarkt. Auf Nachfrage hin erfährst du, dass es hier nie ein Café gegeben hat und dass sich dieses an einer ganz anderen Adresse befindet.
So ähnlich funktioniert DNS-Spoofing im Internet, nur dass du nicht an einen falschen physischen Ort, sondern auf eine gefälschte Website geführt wirst. Doch bevor wir uns genauer mit der Funktionsweise befassen, zunächst eine generelle Definition.
Der Begriff DNS steht für Domain Name System, was so etwas wie das Telefonbuch des Internets ist. Besuchst du im Internet eine Seite wie google.de, hat dein Computer zunächst keine Ahnung, wo sich diese befindet. Hier kommt der DNS-Resolver ins Spiel. Er übersetzt Domain-Namen und IP-Adressen, so dass wenn du eine Website wie google.de in die Adresszeile deines Browsers eingibst, zur Website von Google geführt wirst.
Durch das DNS-Spoofing werden die DNS-Anfrage und die Übersetzung von Domain-Name und IP-Adresse jedoch verfälscht. Wenn du, um bei unserem Beispiel zu bleiben, google.de in deinen Browser eingibst, landest du statt auf der tatsächlichen Website auf einer gefälschten Version davon, die dem Original zum Verwechseln ähnlich sieht.
In der Praxis wird dafür der DNS-Cache manipuliert, sodass die gefälschten Einträge anstelle der echten genutzt werden. Das wird auch als Cache Poisoning bezeichnet, der DNS-Cache wird sozusagen “vergiftet”. Doch was ist das Ziel einer solchen Attacke?
Was ist das Hauptziel von DNS-Spoofing?
DNS-Spoofing-Angriffe zielen darauf ab, das Opfer in Sicherheit zu wiegen, indem eine täuschend echte Website erstellt wird, auf die der Nutzer umgeleitet wird. Dabei kommt es jedoch zu einer massiven Gefährdung der IT-Sicherheit. Folgende Motivationen stecken hinter einer solchen Cyberattacke:
Phishing: Phishing ist ein Hauptmotiv für DNS-Spoofing. Ein Szenario mit großen Folgen wäre eine gefälschte Online-Banking-Plattform einer Bank. Gibst du dort deine Logindaten ein, stiehlt der Hacker diese Informationen. Ebenfalls denkbar sind der Diebstahl von Passwörtern oder anderen sensiblen Daten.
Malware: Der Angreifer könnte DNS-Spoofing dafür verwenden, um über bösartige Websites Malware zu verbreiten. Möglicherweise stellt er dort Software zur Verfügung, die die betroffene Person herunterladen soll. Statt legitimer Software lädst du dir jedoch Malware herunter.
Rufschädigung: Denkbar wäre ebenso, dass es sich um die bewusste Manipulation und Rufschädigung eines Konkurrenten handelt. Indem Kunden oder Käufer immer wieder beim Aufrufen einer Website auf eine gefälschte, nicht funktionierende oder gar sicherheitsgefährdende Website umgeleitet werden, kann die Glaubwürdigkeit eines Unternehmens beschädigt werden.
Datensammlung und Datenverkauf: Dein DNS-Server-Anbieter kann deine Aktivitäten im Internet beobachten. Er sieht, welche Webseiten du besuchst und welche Apps du nutzt. Auf diese Weise erhält er einen detaillierten Blick auf deine Online-Aktivitäten. Er kann diese Informationen unter anderem für Marketingzwecke nutzen. Der DNS-Leak-Test von Surfshark zeigt dir, welche Informationen von dir einsehbar sind.
Wie häufig ist DNS-Spoofing in Deutschland?
Es gibt keine genauen Zahlen über DNS-Spoofing in Deutschland, aber im Allgemeinen ist es eine beliebte Angriffsmethode von Cyberkriminellen. Allein im Jahr 2022 gab es 15.000.000 Meldungen von Schadprogramm-Infektionen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) – und ohne Zweifel wird DNS-Spoofing einen großen Anteil daran haben.
Wie geläufig DNS Spoofing ist, zeigt ein Beispiel aus dem letzten Jahr: Es kam heraus, dass Hacker Standardeinstellungen im Microsoft DHCP-Server für DNS-Spoofing ausnutzten und den DHCP-Server dazu bringen konnten, falsche DNS-Einträge zu erstellen, was zu Man-in-the-Middle-Angriffen führte.
Welche Anzeichen gibt es für DNS-Spoofing?
DNS-Spoofing ist oft schwer zu erkennen, aber es gibt dennoch einige Hinweise, die auf einen DNS-Spoofing-Angriff hindeuten. Wir haben diese für dich zusammengefasst:
Sicherheitswarnungen im Browser
Sichere Websites verfügen über ein Sicherheitszertifikat, das du in der Regel anhand eines Hinweises in der Adresszeile des Browsers erkennen kannst – oftmals dargestellt in Form eines Schlosssymbols. Zeigt der Browser dir hingegen eine Sicherheitswarnung an, weil so ein Zertifikat fehlt oder selbst signiert ist, könnte das auf DNS-Spoofing hindeuten.
Website lädt verzögert oder gar nicht
Dass DNS-Anfragen an eine falsche oder nicht existierende IP-Adresse weitergeleitet werden, kann dazu führen, dass eine Website, die du aufrufst, nur sehr langsam oder gar nicht lädt. Denn es kann sein, dass die Leistung des DNS-Servers, zu welchem die gefälschte IP-Adresse führt, nicht für die Menge an Besuchern ausgelegt ist und dieser deshalb schnell überlastet ist.
Durch DNS Cache Poisoning kann der DNS-Cache außerdem mit falschen Informationen gefüllt sein, und es kommt beim DNS-Resolver zu einer Fehlfunktion, da dieser stetig versucht, die richtige IP-Adresse zu finden.
Unbekannte Website
Wenn du eine dir eigentlich bekannte Website aufrufen möchtest, dir aber die Seite, die in deinem Browser erscheint, merkwürdig vorkommt, könnte es zu einer DNS-Manipulation gekommen sein. Manchmal können es auch nur kleine Unterschiede in Design oder Sprache sein, die auf eine Fake-Website und DNS-Spoofing hindeuten.
Warnung durch das Antivirenprogramm
Ein gutes Antivirenprogramm kann zumindest gegen die Ursachen beziehungsweise Folgen von DNS-Spoofing wie Phishing oder Malware schützen. Spare deshalb nicht an einem Cybersicherheitstool, das dich vor Cyberangriffen schützt. Vermeide gratis Programme, da diese dich entweder mit nerviger Werbung bombardieren oder deine Daten an Dritte weiterverkaufen.
Tools zur Netzwerküberwachung
Mit einem Tool zur Netzwerküberwachung hast du die Möglichkeit, DNS-Anfragen an IP-Adressen zu erkennen, die nicht zu den erwarteten Domains passen. Diese Programm gibt es auch für den privaten Gebrauch – sie bieten eine grundlegende Überwachung, sind aber ebenso als Premium-Version für den professionellen Gebrauch zu erwerben.
Wie kann ich DNS-Spoofing verhindern?
Nutze öffentliche DNS-Resolver
Wie du bereits erfahren hast, übersetzt ein DNS-Resolver einen Website-Namen in IP-Adressen. Das Nutzen eines öffentlichen DNS-Resolvers bietet viele Vorteile: schnellere Antwortzeiten durch weltweit verteilte Server, erhöhte Datenschutz- und Anonymität durch minimale Datenaufzeichnung, sowie Unterstützung moderner Sicherheitsstandards wie DNSSEC, DoH, DoT und DNSCrypt.
Verwende ein VPN
Ein VPN (Virtuelles Privates Netzwerk) verschlüsselt deinen Datenverkehr und auch deine DNS-Anfragen. Dadurch, dass außerdem deine IP-Adresse verschleiert wird, fällt es Angreifern schwerer, einen DNS-Spoofing-Angriff auf dich zu starten, da er deine tatsächliche Identität und deinen wahren Standort nicht kennt.
Leere deinen DNS-Cache
Regelmäßig deinen DNS-Cache zu leeren hilft gegen DNS-Cache-Poisoning und DNS-Spoofing. Wenn du also den Verdacht hast, dass deine DNS-Anfragen manipuliert wurden, solltest den den DNS Cache leeren, um kompromittierte Einträge zu löschen. So gehst du dafür vor:
Unter Windows:
- Öffne die Eingabeaufforderung als Administrator.
- Gib folgenden Befehl ein: ipconfig /flushdns.
- Drücke Enter.
- Du erhältst eine Meldung, dass der DNS-Resolver-Cache erfolgreich geleert wurde.
Unter MacOs:
- Öffne das Terminal.
- Gib folgenden Befehl ein: sudo killall -HUP mDNSResponder.
- Gib das Administratorpasswort ein und drücke Enter.
FAQs
Was sollte ich tun, wenn ich Opfer von DNS Spoofing geworden bin?
Eine der ersten Maßnahmen sollte sein, dass du sofort die Internetverbindung trennst. Ändere außerdem über eine andere, sichere Verbindung die Passwörter aller Konten, auf die du in letzter Zeit zugegriffen hast. Ändere zuletzt den DNS-Cache, wie oben beschrieben.
Wird DNS Spoofing als Phishing-Angriff betrachtet?
DNS Spoofing bezeichnet nicht direkt eine Phishing-Attacke hat aber oft dieselben Ziele: Du solltest auf einer gefälschten Website Daten von dir preisgeben, die der Angreifer stehlen kann. Kurz gesagt kann DNS-Spoofing eine fortgeschrittene Art von Phishing sein.
Kann ein Antivirenprogramm gegen DNS Spoofing helfen?
Ein Antivirenprogramm ist nicht der ultimative Schutz gegen DNS Spoofing, aber es kann Malware erkennen, die DNS Spoofing ausnutzen könnte. Einige Programme können zudem Websites auf ihre Echtheit prüfen und Phishing verhindern.
Können DNS-Spoofing-Angriffe in öffentlichen WLAN-Netzwerken passieren?
Ja, denn öffentliche WLAN-Hotspots sind in vielen Fällen unsicher und bergen Gefahren für verschiedene Cyberangriffe. Vermeide diese Netzwerke daher am besten – vor allem beim Zugriff auf Websites mit sensiblen Daten – oder nutze zum Schutz ein VPN.