Захват DNS

Захват DNS — это семейство техник, подменяющих DNS-путь между пользователем и целевой службой. Он может происходить на конечном устройстве (вредоносное ПО меняет настройки DNS или hosts), на домашнем или корпоративном маршрутизаторе (взломанный CPE), на рекурсивном резолвере (отравление кэша или MitM) или у авторитативного DNS-провайдера (компрометация аккаунта, кража учётных данных, злоупотребление у регистратора). С захваченным DNS атакующие могут перехватывать почту, выпускать TLS-сертификаты на захваченные имена, проводить фишинг против легитимного домена или облегчать другие вторжения — как в кампаниях DNSpionage и Sea Turtle. Меры: DNSSEC, registry/registrar locks, записи CAA, мониторинг DNS-записей и логов Certificate Transparency, MFA на аккаунтах DNS-провайдеров, использование доверенных рекурсивных резолверов (DoH/DoT).