Il DNS Hijacking reindirizza gli utenti verso siti web indesiderati, ma quali danni può effettivamente causare? Gli utenti possono, ad esempio, essere reindirizzati a siti web dove il loro sistema è infettato con software dannoso. Nella pratica, tuttavia, questa forma di attacco non è molto diffusa o quasi inesistente. Le due tecniche del phishing e del pharming invece sono molto più frequenti.
Nel caso del phishing, l’utente finisce sulla replica di un sito web altrimenti considerato affidabile, con lo scopo di identificare i suoi dati sensibili. L’utente è convinto, ad esempio, di trovarsi sulla homepage della sua banca e inserisce le sue credenziali di accesso come di consueto, compresa la password. L’hacker può quindi memorizzare e utilizzare le informazioni per assumere il controllo del conto bancario online dell’utente.
Il phishing funziona anche senza il DNS Hijacking, ad esempio quando gli utenti cliccano su link manipolati. La corruzione del Domain Name System rende questa tecnica ancora più perfida: l’utente può aver fatto tutto correttamente, aver inserito l’URL corretto nella barra degli indirizzi del browser o magari aver cliccato su un segnalibro e venire indirizzato comunque al sito web fasullo. A causa dell’elevato livello di fiducia nel DNS, la maggior parte degli utenti non controlla se sono effettivamente sul sito web desiderato o se navigano su una replica fasulla.
Il pharming, d’altra parte, è di solito meno dannoso per l’utente, ma può essere comunque molto utile per l’hacker. Con questo metodo, gli utenti vengono indirizzati a un sito web gremito di annunci pubblicitari. Ogni volta che viene aperto questo sito, che altrimenti non avrebbe alcuno scopo, l’operatore riceve denaro, anche se il sito web viene chiuso immediatamente. Il fatturato generato in questo modo, poi, confluisce spesso in altre attività criminali.
Il DNS Hijacking viene utilizzato sempre più spesso anche da organi ufficiali. Alcuni governi lo usano per censurare Internet, in parte per sedare le posizioni politiche, ma in parte anche per impedire, ad esempio, l’accesso alla pornografia. Gli utenti che tentano di accedere a un sito web “controllato” saranno reindirizzati a un altro sito web. A differenza del phishing, questa forma di censura viene di solito segnalata chiaramente all’utente.
Anche gli stessi provider di Internet si affidano in una certa misura alla tecnica del DNS Hijacking: se un utente tenta di accedere a un indirizzo web che non è registrato nel DNS, viene di solito visualizzato un messaggio di errore (NXDOMAIN) e non viene caricato alcun sito web. Questo accade spesso quando, ad esempio, si digita un URL sbagliato. Prima che venga mostrato un messaggio di errore, la richiesta passa attraverso ogni livello del Domain Name System. Solo quando il livello superiore conferma che effettivamente non esiste nessun record sotto questo indirizzo, il browser riceve la risposta.
È esattamente in questo istante che avviene il DNS Hijacking da parte del provider di rete: il messaggio di errore viene intercettato e al suo posto viene visualizzato l’indirizzo IP di un altro sito web. Con questa tecnica, i provider di Internet cercano di reindirizzare l’utente verso siti web con molta pubblicità per generare guadagni diretti o per attirare l’attenzione sulle proprie offerte. Anche se questo non causa alcun danno all’utente, la visualizzazione della pubblicità può comunque essere fastidiosa.