Help, mijn site is gekaapt

Stel dat je een goedlopende webwinkel hebt, en plotseling al je klanten worden omgeleid naar een concurrent in het verre China. Niet mogelijk? Toch wel. DNS-kaping komt regelmatig voor. Onlangs wisten aanvallers de DNS van een hostingbedrijf in Nederland te kapen waardoor duizenden domeinnamen naar malware verwezen.

Het Domain Name System (DNS) is eigenlijk niks anders dan een soort telefoonboek. Het vertaalt domeinnamen naar IP-adressen. Een computer kan Emerce.nl niet vinden, maar wel het IP-adres dat er bij hoort. Het is dus ook niet zo moeilijk om die adressen aan te passen. Veel van deze wijzigingen worden geautomatiseerd verwerkt. En dan gaat het nogal eens mis.

In oktober wisten aanvallers de DNS van anti-virusbedrijven Avira en AVG te kapen. Dat deden ze door een wachtwoordreset bij registrar Network Solutions aan te vragen. Er is altijd wel een zwakke schakel die de hele keten ontwricht. Vorige maand werd ook het webadres van de Nederlandse hostingprovider LeaseWeb gekaapt, maar de afdeling beveiliging kon tijdig ingrijpen.

De Stichting Internet Domeinregistratie Nederland (SIDN), de beheerder van Nederlandse domeinnamen, biedt al enige tijd bescherming tegen dit soort kapingen, maar daar moet je wel voor betalen: 30 euro per domein. Sinds kort biedt deze dienst nog een extra zogenoemde glue record-bescherming.

Dat houdt in dat het wijzigen van het IP-adres van een zogenoemde in-zone nameserver (ns1.sidn.nl voor de domeinnaam sidn.nl) niet meer geautomatiseerd wordt verwerkt. Het wijzigen van een domeinnaamhouder wordt dan handmatig beoordeeld. De medewerkers nemen dan telefonisch contact op met de domeinnaamhouder en vragen akkoord voor de wijziging. Dat moet dan ook nog schriftelijk worden bevestigd.

Overigens wordt er tot nu toe nauwelijks gebruik van de dienst van SIDN gemaakt, vermoedelijk omdat men geen gevaar ziet. Toegegeven: een concurrent zal niet zo gauw een domein gaan kapen, maar cybercriminelen zouden DNS kaping kunnen gebruiken om webwinkels af te persen.