DNS Hijacking หรือเรียกอีกอย่างว่า DNS Redirection เป็นรูปแบบของการโจมตีทางไซเบอร์ที่รบกวนกระบวนการแปลงชื่อโดเมนที่เข้าใจง่าย (เช่น google.com) เป็นตัวเลข IP Address ที่คอมพิวเตอร์สามารถเข้าใจได้ ซึ่งผู้โจมตีสามารถเข้าไปจัดการกระบวนการดังกล่าว เพื่อเปลี่ยนเส้นทางหรือ Reroute ผู้ใช้งานที่ต้องการเข้าสู่เว็บไซต์ปกติ ให้ไปเข้าโดเมนเว็บไซต์ที่เป็นอันตรายแทน
DNS คืออะไร?
DNS หรือ Domain Name System เป็นส่วนประกอบสำคัญของโครงสร้างพื้นฐานอินเทอร์เน็ตที่ทำหน้าที่แปลงชื่อโดเมนที่มนุษย์เข้าใจง่าย เช่น www.example.com หรือชื่อเว็บไซต์ทั่วๆ ให้กลายเป็น IP Address หรือ Internet Protocol Address ซึ่งจะอยู่ในรูปแบบตัวเลข เช่น 192.0.2.1 ที่คอมพิวเตอร์ใช้ในการระบุตัวตนซึ่งกันและกันบนเครือข่าย ระบบนี้ทำงานคล้ายกับสมุดโทรศัพท์ หรือการบันทึกชื่อเจ้าของเบอร์กับเบอร์โทร ซึ่งช่วยให้ผู้ใช้งานสามารถเข้าถึงเว็บไซต์และทรัพยากรอื่นๆ โดยใช้ชื่อที่จดจำง่ายแทนการใช้ IP Address แบบตัวเลขที่จำได้ยากกว่านั่นเอง
องค์ประกอบหลักของ DNS
DNS มีองค์ประกอบหลักทั้งหมด 3 อย่าง ได้แก่ Domain Name, IP Address และ DNS Server โดยมีรายละเอียด ดังนี้
- Domain Name - ชื่อโดเมนที่ใช้ระบุตัวตนของเว็บไซต์ เช่น www.google.com ซึ่งเป็นชื่อที่ผู้ใช้งานสามารถป้อนลงในเว็บเบราว์เซอร์ เพื่อเข้าสู่เว็บไซต์นั้นๆ
- IP Address - ตัวเลข “ที่อยู่” ที่ใช้ระบุตำแหน่งของอุปกรณ์ต่างๆ ที่เชื่อมต่อกับเครือข่ายอินเทอร์เน็ต เช่น 172.217.16.196 เป็นตัวเลข IP Address ของเซิร์ฟเวอร์ Google เป็นต้น ซึ่งคอมพิวเตอร์จะใช้ IP Address นี้ในการติดต่อสื่อสารและส่งข้อมูลระหว่างกัน
-
DNS Server - เซิร์ฟเวอร์ที่ออกแบบมาสำหรับจัดเก็บข้อมูลความเชื่อมโยงระหว่าง Domain Name และ IP Address และตอบสนองต่อ DNS Query เช่น เมื่อผู้ใช้งานพิมพ์ชื่อโดเมนลงบนเว็บเบราว์เซอร์ DNS Server จะทำหน้าที่ค้นหาและส่งตัวเลข IP Address ของเว็บไซต์นั้นๆ กลับมา ทำให้คอมพิวเตอร์สามารถเชื่อมต่อไปยังเซิร์ฟเวอร์ของเว็บไซต์ปลายทางได้ถูกต้อง
DNS Hijacking ทำงานอย่างไร
เมื่อกล่าวถึง DNS Hijacking หรือการแฮกดีเอ็นเอส โดยทั่วไป ผู้โจมตีหรือกลุ่มแฮกเกอร์นั้นจะมีการวางลำดับขั้นตอนการโจมตีระบบชื่อโดเมนออกเป็น 5 ขั้นตอนหลัก เพื่อเข้าแทรกแซงและหลอกลวงเหยื่อบนอินเทอร์เน็ต ซึ่งการทำความเข้าใจแต่ละขั้นตอนนั้นเป็นข้อปฏิบัติอันดับแรกในการป้องกันข้อมูลและเครือข่ายขององค์กร โดย DNS Hijacking มีหลักการทำงาน ดังนี้
ขั้นตอนที่ 1 - การกำหนดเป้าหมาย
ในขั้นตอนแรกผู้โจมตีจะทำการกำหนดเป้าหมายผู้ใช้งานหรือผู้มีโอกาสตกเป็น “เหยื่อ” ของการแฮกดีเอ็นเอส โดยมักจะมีการกำหนดเป้าหมายด้วยวิธีการ 2 รูปแบบ คือ
- Local Attack - การฝังมัลแวร์ (Malware) หรือโทรจัน (Trojan) ลงบนอุปกรณ์ของผู้ใช้งาน ซึ่งช่วยให้แฮกเกอร์สามารถแก้ไขการตั้งค่า Local DNS ได้ ด้วยการเปลี่ยนการตั้งค่าการสื่อสารกับ DNS Server จากเซิร์ฟเวอร์ปกติ และบังคับให้คอมพิวเตอร์สื่อสารกับเซิร์ฟเวอร์ที่เป็นอันตรายแทน ดังนั้นผู้โจมตีจึงสามารถ Redirect อุปกรณ์ของผู้ใช้งานไปยังเว็บไซต์ใดๆ ก็ได้ตามต้องการ
- Network Attack - การโจมตีที่อาศัยช่องโหว่ในเฟิร์มแวร์ของ Router เพื่อเข้าถึงและแก้ไขการตั้งค่า DNS ของ Router ซึ่งส่งผลกระทบต่ออุปกรณ์ทั้งหมดที่เชื่อมต่อกับ Router นั้นๆ ทำให้คอมพิวเตอร์ของผู้ใช้งานส่ง DNS Request ไปยังเซิร์ฟเวอร์ที่เป็นอันตรายของแฮกเกอร์
ขั้นตอนที่ 2: การสกัดกั้น DNS Request
หลังจากการตั้งค่า DNS ของเป้าหมายถูกเปลี่ยนแปลงเป็นที่เรียบร้อย อุปกรณ์ของผู้ใช้งานจะส่ง DNS Request ไปยังเซิร์ฟเวอร์ของผู้โจมตีแทนที่จะเป็นเซิร์ฟเวอร์ที่ถูกต้อง ซึ่งเซิร์ฟเวอร์ของผู้โจมตีจะคอยสกัดกั้นข้อมูลคำขอเหล่านี้
ขั้นตอนที่ 3: การตอบสนองที่เป็นอันตราย
เมื่อเซิร์ฟเวอร์ของผู้โจมตีรู้ถึงข้อมูล DNS Request จากอุปกรณ์ของเหยื่อ ก็จะตอบสนองโดยให้ข้อมูล IP Address ปลอมที่นำพาผู้ใช้งานเข้าสู่เว็บไซต์ที่เป็นอันตรายหรืออยู่ภายใต้การควบคุมของแฮกเกอร์
ขั้นตอนที่ 4: การเข้าสู่เว็บไซต์ปลอม
อุปกรณ์ปลายทางของผู้ใช้งานจะเชื่อมต่อกับเว็บไซต์ปลอมของแฮกเกอร์ ซึ่งโดยส่วนใหญ่มักออกแบบมาให้ดูเหมือนเว็บไซต์จริง
ขั้นตอนที่ 5: การหลอกลวงและการโจรกรรมข้อมูล
เว็บไซต์ปลอมของแฮกเกอร์นั้นสามารถที่จะขโมยข้อมูลของเหยื่อ ไม่ว่าจะเป็นข้อมูลการ Log In ข้อมูลส่วนบุคคล หรือแม้กระทั่งแพร่กระจายมัลแวร์ต่างๆ ไปยังอุปกรณ์ของผู้ใช้งาน เช่น ไวรัส (Virus), เวิร์ม (Worm), โทรจัน (Trojan) ไปจนถึงมัลแวร์เรียกค่าไถ่ (Ransomware) ซึ่งอาจก่อให้เกิดความเสียหายตามมาในภายหลัง โดยที่ผู้ใช้งานไม่รู้ตัว
ประเภทของการโจมตี DNS Hijacking
Local DNS Hijacking
การโจมตีที่อาศัยมัลแวร์ที่แอบแฝงอยู่บนอุปกรณ์ของผู้ใช้งานในการเปลี่ยนการตั้งค่า DNS โดยผู้โจมตีมักใช้วิธีการต่างๆ เพื่อหลอกล่อให้ผู้ใช้งานดาวน์โหลดไฟล์ที่มีมัลแวร์ที่มีคุณสมบัติในการแก้ไขการตั้งค่า DNS จากนั้นมัลแวร์จะเปลี่ยนที่อยู่เซิร์ฟเวอร์ DNS ในการตั้งค่าเครือข่ายของอุปกรณ์เพื่อเปลี่ยนการสื่อสารไปยังเซิร์ฟเวอร์ที่เป็นอันตรายแทน ทำให้ผู้ใช้งานถูก Redirect ไปยังไซต์ฟิชชิง (Phishing) เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ชื่อผู้ใช้งาน ข้อมูลบัตรประชาชน ที่อยู่ และรหัสผ่านธนาคาร เป็นต้น
Router DNS Hijacking
การโจมตีประเภทนี้เพ่งเล็งไปที่ Router ในบ้านหรือสำนักงาน โดยใช้ประโยชน์จากความระบบความปลอดภัยที่อ่อนแออย่างไฟร์วอลล์ (Firewall) แบบเก่า เพื่อแก้ไขการตั้งค่า DNS ของตัว Router โดยผู้โจมตีใช้ประโยชน์จากช่องโหว่ในเฟิร์มแวร์ของ Router เพื่อเข้าควบคุม เมื่อเข้าไปใน Admin Panel ของ Router ได้แล้ว แฮกเกอร์จะเปลี่ยน DNS Server Address เป็น Address ที่อยู่ภายใต้การควบคุมของผู้โจมตีแทน ซึ่งหมายความว่าอุปกรณ์ทุกเครื่องที่เชื่อมต่อกับ Router จะถูก Redirect ไปยังไซต์ที่เป็นอันตรายเมื่อร้องขอ DNS
Man-in-the-Middle (MITM) DNS Hijacking
การโจมตีในลักษณะที่ผู้ไม่หวังดีจะอาศัยช่องโหว่ในการแทรกตัวเข้าไปในกระบวนการสื่อสารระหว่างผู้ใช้งานกับเซิร์ฟเวอร์ DNS เพื่อสกัดกั้นและเปลี่ยนแปลงข้อมูล สกัดกั้น DNS Query และปลอมแปลงการตอบกลับจากเซิร์ฟเวอร์ DNS โดยแทนที่จะส่งที่อยู่ IP ที่ถูกต้องของเว็บไซต์ที่ผู้ใช้งานต้องการ ผู้โจมตีจะส่งที่อยู่ IP ของเว็บไซต์ปลอมที่สร้างขึ้นมาแทน ซึ่งวิธีการทั่วไปที่แฮกเกอร์มักใช้งานได้แก่ ARP (Address Resolution Protocol) Spoofing และ DNS response forgery
Rogue DNS Server Hijacking
การโจมตีที่เกิดขึ้นเมื่อเซิร์ฟเวอร์ DNS ถูกบุกรุก โดยผู้โจมตีจะเข้าควบคุมเซิร์ฟเวอร์ DNS ที่ถูกต้องผ่านช่องโหว่หรืออาศัยภัยคุกคามจากภายใน (Insider Threat) และแก้ไขบันทึกข้อมูลบน DNS เพื่อ Redirect คำขอโดเมนที่ถูกต้องไปยัง PI Address ที่เป็นอันตรายหรือไปยังเว็บไซต์ปลอม ซึ่งอาจส่งผลกระทบต่อผู้ใช้งานทุกคนที่ใช้งานเซิร์ฟเวอร์ DNS ที่ถูกแฮก
ตัวอย่างเหตุการณ์ DNS Hijacking ที่เกิดขึ้นจริง
The New York Times (2013)
ในปี 2013 แฮกเกอร์ได้เข้าควบคุมบันทึกข้อมูล DNS ของ The New York Times และ Redirect ผู้ใช้งานไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลในการ Log In เข้าสู่ระบบ ซึ่งเหตุการณ์นี้เป็นการเน้นย้ำถึงความสำคัญของการรับรู้ของผู้ใช้งานและการตรวจสอบความถูกต้องของเว็บไซต์ก่อนป้อนข้อมูลส่วนตัวหรือข้อมูลที่มีความละเอียดอ่อน
Curve Finance Attack (2022)
แฮกเกอร์เข้าควบคุม DNS ของ Curve Finance ซึ่งเป็นแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัล โดย Redirect ผู้ใช้งานไปยังเว็บไซต์ปลอมที่ดูเหมือนแพลตฟอร์ม Curve Finance จริงๆ ส่งผลให้ผู้ใช้งานที่ไม่ทันสังเกตเข้าใช้งานแพลตฟอร์มปลอม ซึ่งผู้ใช้งานได้ให้การอนุมัติการถ่ายโอนสกุลเงินดิจิทัลโดยไม่ได้รับอนุญาตโดยไม่รู้ตัว
Sea Turtle Campaign (2019)
แทนที่จะกำหนดเป้าหมายเว็บไซต์ใดเว็บไซต์หนึ่ง กลุ่มแฮกเกอร์กลุ่มหนึ่งมุ่งเป้าไปยังโดเมนระดับ Top-Level หรือ Country Code (ccTLD) เช่น ".co.uk" และ ".ru" ซึ่งหาก Domain เหล่านี้ถูกละเมิด อาจส่งผลให้การเข้าถึงอินเทอร์เน็ตของผู้ใช้งานจำนวนมากในประเทศที่ได้รับผลกระทบ แต่โชคดียังดีที่การโจมตีนี้ถูกตรวจพบและป้องกันก่อนที่จะก่อให้เกิดความเสียหายในวงกว้าง
DNS Hijacking Vs DNS Spoofing Vs Cache Poisoning
DNS Hijacking, DNS Spoofing และ Cache Poisoning ล้วนเป็นการโจมตีที่เกี่ยวข้องกับ DNS โดยมีเป้าหมายคือการ Redirect การเข้าชมเว็บไซต์ของผู้ใช้งานไปยังเว็บไซต์ปลอม อย่างไรก็ตามการโจมตีแต่ละรูปแบบมีความแตกต่างกันในหลายประการ ดังนี้
| DNS Hijacking | DNS Spoofing | Cache Poisoning | |
|---|---|---|---|
| ความหมาย | เปลี่ยนแปลงการตั้งค่า DNS ของผู้ใช้งานที่เชื่อมต่อกับเซิร์ฟเวอร์ไปยังเว็บไซต์ปลอม | ปลอมแปลงการตอบกลับของ DNS Server เพื่อ Redirect ผู้ใช้งานไปยังเว็บไซต์ปลอม | ฝังข้อมูลปลอมลงใน DNS Resolver Cache เพื่อหลอกให้เซิร์ฟเวอร์ส่งข้อมูลที่ผิดพลาดให้กับผู้ใช้งาน |
| เป้าหมาย | DNS Setting | DNS Response | DNS Resolver Cache |
| วิธีการ | เข้าควบคุมเพื่อเปลี่ยนการตั้งค่า DNS | ใช้ช่องโหว่ใน DNS Server หรือ การโจมตีแบบ MITM | การส่งข้อมูลปลอมเข้าไปใน DNS Cache |
| ผลลัพธ์ | Redirect ผู้ใช้งานไปยังเว็บไซต์ปลอม | Redirect ผู้ใช้งานไปยังเว็บไซต์ปลอม | Redirect ผู้ใช้งานไปยังเว็บไซต์ปลอมในระยะเวลาหนึ่ง |
| ขอบเขต | ส่งผลกระทบต่อบุคคล เครือข่ายทั้งหมด หรือโดเมน | ส่งผลกระทหต่อบุคคลและเครือข่าย | ส่งผลกระทหต่อบุคคลและเครือข่าย |
| ตัวอย่าง | ผู้โจมตีเปลี่ยนการตั้งค่า DNS ของเว็บไซต์ธนาคาร | ผู้โจมตีดักจับการสื่อสารระหว่างผู้ใช้งานและ DNS และสร้าง IP Address ปลอม | ผู้โจมตีใช้ช่องโหว่ของ DNS Server เพื่อฝังข้อมูล IP Address ปลอมของเว็บไซต์โซเชียลมีเดีย |
| การตรวจจับ | การตั้งค่า DNS ถูกเปลี่ยนแปลง การแจ้งเตือนความปลอดภัย เมื่อถูก Redirect ไปยังเว็บไซต์ | การสื่อสารที่ผิดปกติของ DNS Response มี IP Address แปลกๆ ถูกแสดงผล | การสื่อสารที่ผิดปกติของ DNS Response หรือข้อมูลบันทึก DNS ที่คลาดเคลื่อน |
| การป้องกัน | ใช้ DNS ที่ปลอดภัย, อัปเดต Firmware, ใช้รหัสผ่านที่แข็งแกร่ง, เข้ารหัส DNS Queries | ใช้ DNSSEC, ตรวจสอบทราฟิกบน DNS, ดำเนินการโปรโตคอลความปลอดภัย | ใช้ DNSSEC, ล้าง DNS Cache สม่ำเสมอ, เฝ้าสังเกตกิจกรรมบน DNS Resolver |
วิธีตรวจจับ DNS Hijacking
- ตรวจสอบการรับ-ส่งข้อมูล DNS - ตั้งค่าระบบเพื่อตรวจสอบการรับส่งข้อมูล DNS เพื่อหาความผิดปกติ เช่น การเพิ่มขึ้นอย่างกะทันหันของ DNS Query หรือ Domain Request ที่ผิดปกติ พร้อมตรวจสอบ Log บนเซิร์ฟเวอร์ DNS เป็นประจำ เพื่อระบุกิจกรรมที่น่าสงสัยที่อาจบ่งบอกถึงความพยายามในการแฮกดีเอ็นเอส
- ยืนยันการตั้งค่า DNS Setting - ตรวจสอบการตั้งค่าของ DNS บน Router และอุปกรณ์แต่ละเครื่องเป็นประจำ เพื่อให้แน่ใจว่าไม่ได้ถูกแก้ไข พร้อมเปรียบเทียบ IP Address บนเซิร์ฟเวอร์ DNS กับ IP Address ที่ถูกต้อง โดยให้สังเกตความคลาดเคลื่อนของข้อมูลต่างๆ อย่างถี่ถ้วน
- ใช้เครื่องมือ DNS Security - ใช้เครื่องมืออย่าง DNSSEC เพื่อตรวจจับและป้องกันการแก้ไขจากผู้โจมตี รวมถึงใช้บริการตรวจสอบ DNS ที่ตรวจสอบ DNS Record อย่างต่อเนื่องเพื่อป้องกันการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต
- ตรวจสอบ DNS Record - ดำเนินการตรวจสอบบันทึก DNS เป็นประจำ เพื่อยืนยันว่าตรงกับ Configuration ที่ตั้งใจไว้ ตรวจสอบความสมบูรณ์ของ DNS Zone File เพื่อให้แน่ใจว่าไม่มีการแก้ไขใดๆ
- มาตรการรักษาความปลอดภัย Endpoint - ใช้เครื่องมือป้องกันไวรัสและมัลแวร์ รวมถึงโซลูชัน EDR และ MDR เพื่อสแกนอุปกรณ์ปลายทางที่อาจติดมัลแวร์ นอกจากนี้ยังสามารถใช้เครื่องมือวิเคราะห์การรับส่งข้อ-มูลเครือข่ายเพื่อตรวจสอบ DNS Query และ DNS Response เพื่อหาประวัติการ Redirect หรือการปลอมแปลงข้อมูล
- ใช้เครื่องมือและบริการภายนอก - เปรียบเทียบ IP Address ของชื่อโดเมน โดยใช้เซิร์ฟเวอร์ DNS สาธารณะที่แตกต่างกัน (เช่น Google DNS หรือ Cloudflare DNS) เพื่อดูว่ามีผลลัพธ์ที่สอดคล้องกันหรือไม่ หรือเลือกใช้บริการออนไลน์ที่เชื่อถือได้เพื่อตรวจสอบ DNS Record สำหรับโดเมน เช่น บริการอย่าง MXToolbox หรือ DNSstuff ซึ่งสามารถให้รายงานโดยละเอียดเกี่ยวกับ DNS Configuration
แนวทางการป้องกัน DNS Hijacking
- อัปเดตซอฟต์แวร์ - ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ เบราว์เซอร์ และซอฟต์แวร์อื่นๆ ของคุณได้รับการอัปเดตด้วยแพตช์ความปลอดภัยล่าสุดเสมอ การอัปเดตเหล่านี้จะช่วยแก้ไขช่องโหว่ที่ผู้โจมตีสามารถใช้ประโยชน์เพื่อโจมตีระบบชื่อโดเมน
- ป้องกันไวรัสและป้องกันมัลแวร์ - ใช้โปรแกรมป้องกันไวรัسและป้องกันมัลแวร์ที่เชื่อถือได้เพื่อตรวจจับและลบซอฟต์แวร์ที่เป็นอันตรายใดๆ ที่อาจพยายามเปลี่ยนแปลงการตั้งค่า DNS รวมทั้งใช้ระบบ Data Loss Prevention เพื่อป้องกันการรั่วไหลของข้อมูลสำคัญ
- ใช้รหัสผ่านที่แข็งแกร่ง - ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกันสำหรับเครือข่าย Wi-Fi, Router และบัญชีออนไลน์ต่างๆ เพื่อป้องกันไม่ให้ผู้โจมตีเข้าถึงและจัดการการตั้งค่า DNS
- ตรวจสอบการตั้งค่า DNS ของคุณ - สำหรับผู้ใช้ขั้นสูง สามารถตรวจสอบการตั้งค่า DNS ของอุปกรณ์ได้ด้วยตนเอง และตรวจสอบให้แน่ใจว่าใช้บริการเซิร์ฟเวอร์ DNS ที่มีความน่าเชื่อถือ เช่น Google Public DNS (8.8.8.8) หรือ OpenDNS (208.67.222.222)
- รักษาความปลอดภัยของ Router - แนะนำให้เปลี่ยนชื่อผู้ใช้และรหัสผ่านเริ่มต้นของ Router เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและการจัดการการตั้งค่า DNS นอกจากนี้สามารถเปิดใช้งานการเข้ารหัส (WPA2) บนเครือข่าย Wi-Fi ได้ด้วย
- ใช้ VPN - พิจารณาใช้ Virtual Private Network (VPN) เพื่อเข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ต และซ่อน DNS Request จากการโจมตีบนเครือข่าย Wi-Fi สาธารณะ อย่างไรก็ตาม VPN ฟรีอาจไม่ปลอดภัยเท่าไหร่นัก ดังนั้นจึงควรเลือกผู้ให้บริการที่น่าเชื่อถือหากต้องการที่จะใช้วิธีนี้
- ติดตั้งระบบความปลอดภัยขั้นสูง - องค์กรควรพิจารณาใช้ระบบ Next-Generation Firewall (NGFW) และ Secure Web Gateway เพื่อตรวจสอบและกรองการรับส่งข้อมูลบนเครือข่าย รวมถึงการใช้งาน ZTNA (Zero Trust Network Access) เพื่อจำกัดสิทธิ์การเข้าถึงเครือข่ายและทรัพยากรขององค์กร
- ปรับปรุงเครือข่าย - สำหรับองค์กรที่มีสาขาหลายแห่ง การใช้ SD-WAN จะช่วยให้สามารถจัดการและควบคุมการรับส่งข้อมูลระหว่างสาขาได้อย่างปลอดภัย พร้อมทั้งใช้เทคโนโลยี Cloud Computing Hybrid เพื่อเพิ่มความยืดหยุ่นและความปลอดภัยในการจัดการข้อมูล
สรุป
โดยสรุปแล้ว DNS Hijacking ถือเป็นภัยคุกคามต่อความปลอดภัยของอินเทอร์เน็ตอย่างมาก เนื่องจากมีการจัดการระบบชื่อโดเมน (DNS) เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายหรือเว็บปลอม ซึ่งผู้โจมตีมักใช้ประโยชน์จากช่องโหว่ในการตั้งค่า DNS บนอุปกรณ์หรือ Router สกัดกั้น Query ที่ถูกต้องและแทนที่ด้วย IP Address ปลอม
การโจมตีในรูปแบบนี้อาจนำไปสู่การที่ผู้ใช้งานเปิดเผยข้อมูลที่ละเอียดอ่อนโดยไม่ตั้งใจหรือตกเป็นเหยื่อของมัลแวร์ ดังนั้นผู้ใช้งานและองค์กรควรมีความระมัดระวังในการตรวจสอบการตั้งค่า DNS การใช้โปรโตคอล DNS ที่ปลอดภัย เช่น DNSSEC และการใช้มาตรการรักษาความปลอดภัยที่เชื่อถือได้ เพื่อบรรเทาการโจมตีและป้องกันทั้งบุคคลและเครือข่าย
คำถามที่พบบ่อย (FAQs)
DNS Hijacking หรือ DNS Redirection คือ การที่ผู้โจมตีทำการเปลี่ยนแปลงการตั้งค่า DNS เพื่อนำผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตรายแทนที่จะเป็นเว็บไซต์ที่ผู้ใช้งานต้องการเข้าชมจริงๆ ซึ่งอาจนำไปสู่การที่ผู้ใช้งานถูกนำไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนตัวหรือแพร่กระจายมัลแวร์
สัญญาณของการแฮกดีเอ็นเอสที่พบบ่อย ได้แก่ การ Redirect ไปยังเว็บไซต์ที่ไม่คุ้นเคยหรือไม่น่าไว้วางใจ โดยผู้ใช้งานอาจได้รับข้อความแจ้งเตือนด้านความปลอดภัยจากเบราว์เซอร์ นอกจากนี้ยังสามารถสังเกตจากการเปลี่ยนแปลงการตั้งค่า DNS ของอุปกรณ์ได้อีกด้วย
เครือข่าย Wi-Fi สาธารณะเป็นเป้าหมายที่เอื้ออำนวยต่อผู้โจมตี เนื่องจากมีมาตรการควบคุมความปลอดภัยที่อ่อนแอกว่า ทำให้มีความเสี่ยงต่อการโจมตี เช่น DNS Hijacking จึงแนะนำให้เปิดใช้งาน VPN เมื่อเชื่อมต่อกับ Wi-Fi สาธารณะเพื่อความปลอดภัย
ใช่ แฮกเกอร์มักใช้ DNS Hijacking สำหรับการโจมตีแบบฟิชชิง Phishing โดยหลอกลวงผู้ใช้งานให้ไปยังเว็บไซต์ปลอมที่ดูเหมือนของจริง ดังนั้นการใช้ VPN เมื่อใช้ Wi-Fi สาธารณะจึงเป็นสิ่งสำคัญอย่างยิ่ง นอกจากนี้ การรักษาความปลอดภัย DNS จึงเป็นสิ่งสำคัญอย่างยิ่งในการป้องกันการโจมตีในลักษณะนี้
