當大家慣常地輸入網址,瀏覽互聯網時,有沒有想過黑客可以隨時入侵域名系統(Domain Name System DNS),把你帶到惡意網站?

DNS可以是一部「翻譯器」,替用戶把較易理解的域名,轉換為伺服器 IP 地址,最後連接到目標網頁。試想想,一旦黑客成功脅持 DNS,騎劫「翻譯」過程,變相可以偽冒機構身份,甚至惡意竄改資料,用戶一不留神便會進入欺詐網站,導致財物損失。

網絡保安公司 Talos 和 FireEye 相繼於去年底及今年初發布警告,有關DNS的脅持攻擊持續發生,情況令人憂慮。美國Cybersecurity and Infrastructure Security Agency(CISA)亦發出緊急指令,要求所有美國政府機關必須執行相關措施,以加強DNS的保護。上述指令雖然只針對美國政府機關的保安系統,但當中涉及的風險管理也適用於各大機構,保護 DNS 免受攻擊。

DNS是互聯網保安中的關鍵,加強保安系統實在刻不容緩,以下有幾個小建議,幫助市民建立一個安全的數碼城市。首先,用戶須定期檢查 DNS 的記錄,再啟用多重認證,確保授權人員的身份,才可進行 DNS的設定和更新。

此外,用戶在更改註冊商資料庫中的域名時,應啟用電郵或短信通知功能,但切勿以同一個域名的電郵地址作警報通知用途,避免此類警報遭截獲。

用戶也可在網絡供應商和註冊商的協助下,在網域上啟用 DNSSEC,確保 IP 地址是由可信任的來源解析而來。目前,不少網域名稱登記商提供「LOCK」服務,可加入額外的認證措施,進一步減低域名記錄被惡意修改的機會。

要了解更多電腦保安資訊,請瀏覽香港電腦保安事故協調中心網址:www.hkcert.org