Il DNS (Domain Name System) è l'infrastruttura invisibile che traduce i nomi di dominio in indirizzi IP, rendendo possibile la navigazione web. È anche uno dei vettori di attacco più sottovalutati: compromettere il DNS di un'azienda equivale a prendere il controllo del suo indirizzo digitale, con la possibilità di reindirizzare il sito, intercettare le email e rubare credenziali degli utenti — il tutto in modo trasparente e difficile da rilevare.
Le principali minacce al DNS
DNS Hijacking (Domain Hijacking)
L'attaccante ottiene accesso all'account del registrar (es. tramite phishing o credential stuffing) e modifica i record DNS del dominio, reindirizzando il traffico verso server malevoli. Gli utenti credono di visitare il sito legittimo ma interagiscono con una copia fraudolenta. Casi reali hanno riguardato siti bancari, e-commerce e portali aziendali.
DNS Cache Poisoning
Inserimento di record DNS falsi nella cache dei resolver, che iniziano a rispondere con indirizzi IP sbagliati a tutti gli utenti che si affidano a quel resolver. L'attacco può colpire migliaia di utenti senza che il dominio venga effettivamente compromesso.
DNS Spoofing
Risposta DNS falsificata che indirizza l'utente verso un sito malevolo invece di quello legittimo. Particolarmente efficace in reti Wi-Fi non sicure.
Subdomain Takeover
Un sottodominio (es. staging.azienda.it o newsletter.azienda.it) punta a un servizio cloud esterno (Heroku, AWS S3, GitHub Pages) che non è più attivo. Un attaccante può registrare quel servizio e "prendere possesso" del sottodominio, pubblicando contenuti malevoli sotto il dominio fidato dell'azienda.
Misure di protezione DNS
DNSSEC (DNS Security Extensions)
Aggiunge una firma crittografica ai record DNS, permettendo ai resolver di verificare l'autenticità delle risposte. Protegge efficacemente dal cache poisoning e dallo spoofing. Deve essere abilitato sia dal registrar che dal provider DNS.
Protezione dell'account registrar
- 2FA obbligatorio sull'account del registrar del dominio
- Registry Lock / Domain Lock: blocca le modifiche ai record DNS e i trasferimenti di dominio, richiedendo una procedura di verifica manuale fuori banda per qualsiasi modifica
- Credenziali dedicate per il registrar, diverse da quelle usate per altri servizi
- Alerting sulle modifiche DNS: notifica immediata via email/SMS per qualsiasi variazione ai record del dominio
Monitoraggio e pulizia dei sottodomini
- Inventario periodico di tutti i sottodomini attivi
- Rimozione immediata dei record CNAME che puntano a servizi dismessi
- Strumenti di monitoraggio che rilevano variazioni DNS non autorizzate
DNS su HTTPS (DoH) e DNS su TLS (DoT)
Protocolli che cifrano le query DNS, impedendo a terze parti di intercettare o modificare le richieste di risoluzione dei nomi. Particolarmente rilevanti per proteggere gli utenti che si connettono da reti non fidate.
Il dominio come asset aziendale critico
Un dominio compromesso può causare danni che vanno ben oltre il downtime del sito: intercettazione delle email aziendali, phishing credibile verso i clienti, danni reputazionali difficili da recuperare. Proteggere il dominio con le stesse cure riservate ai sistemi informatici più critici non è paranoia — è buona gestione del rischio.
NEO WEB gestisce la registrazione e protezione dei domini dei propri clienti con monitoraggio proattivo delle modifiche DNS e configurazione delle misure di sicurezza specifiche per ogni dominio. Contattaci per verificare la sicurezza del tuo dominio.
