Defaults.Exposed › Raportit
Verkkotunnusten ja DNS:n kaappaus: näin verkkotunnuksia varastetaan ja näin lukitset omasi (2026)
Julkaistu 2026-07-01
Luvut tilanteessa 2026-06-29 · menetelmä v7. Kokonaiskartoituksen tiedot 261 miljoonasta arvioidusta verkkotunnuksesta. Kaappaus tarkoittaa verkkotunnuksesi DNS:n tai rekisteröinnin haltuunottoa sen liikenteen ja postin ohjaamiseksi uudelleen. Katso miten arvioimme.
Verkkotunnuksen kaappaus ei kosketa verkkosivustoasi — se ottaa haltuun siihen osoittavan DNS:n tai rekisteröijätilin, jolloin omat kävijäsi ja sähköpostisi ohjataan huomaamatta hyökkääjälle. Kaksi riskiä eniten pienentävää DNS-hallintakeinoa kuuluvat verkon vähiten käyttöönotettuihin: vain 1.99 %:lla verkkotunnuksista on kelvollinen DNSSEC ja vain 1.56 % julkaisee CAA-tietueen. Näin verkkotunnuksia varastetaan ja näin lukitset omasi.
Miten verkkotunnuksia todella kaapataan
- Rekisteröijätilin haltuunotto — kalastelun kohteeksi joutunut tai uudelleenkäytetty salasana rekisteröijän kirjautumisessa antaa hyökkääjän vaihtaa nimipalvelimet tai siirtää verkkotunnuksen kokonaan. Vaikutukseltaan suurin vektori ja parhaiten estettävissä.
- DNS-tietueiden manipulointi / välimuistin myrkytys — väärennetyt DNS-vastaukset ohjaavat käyttäjät ja postin muualle. Juuri tämän DNSSEC on suunniteltu estämään — ja 1.99 %:lla verkkotunnuksista se on käytössä (lisäksi 3.02 % on allekirjoitettu mutta rikki).
- Roikkuvat tietueet — DNS-merkintä, joka jää osoittamaan pilviresurssiin, jota et enää omista, antaa jonkun toisen ottaa sen haltuun (aliverkkotunnuksen kaappaus).
- Vanhentuneen verkkotunnuksen uudelleenrekisteröinti — anna verkkotunnuksen vanhentua, ja kuka tahansa voi rekisteröidä sen uudelleen ja periä sen jäljelle jääneen liikenteen ja luottamuksen. Kartoituksessa 6.2 % verkkotunnuksista ei enää vastaa — suuri joukko vanhentuneita nimiä. Katso internetin kuolleet verkkotunnukset.
- Väärä varmenteen myöntäminen — ilman CAA-tietuetta, joka rajoittaa, mitkä varmentajat saavat myöntää varmenteita verkkotunnuksellesi, virheellisesti myönnetty varmenne on helpompi hankkia. Vain 1.56 % verkkotunnuksista asettaa sellaisen.
Keskittyminen tuo mukaan systeemisen näkökulman
Useimmat verkkotunnukset nojaavat kourallisen DNS-tarjoajia varaan, joten yksittäisellä tarjoajan häiriöllä on suhteeton ulottuvuus: suurin nimipalvelinoperaattori yksin palvelee 15.4 % niistä verkkotunnuksista, jotka käyttävät tunnistettua tarjoajaa, ja viisi suurinta yhdessä 42.1 %. Keskittyminen ei ole vika, jonka voit korjata yksin, mutta se on syy hoitaa kuntoon ne hallintakeinot, jotka omistat. Katso nimipalvelinten keskittyminen.
Miten lukitset verkkotunnuksesi
- Suojaa rekisteröijätili — yksilöllinen salasana, vahva MFA ja ota käyttöön rekisteröijälukitus (siirto estetty), jotta verkkotunnusta ei voi siirtää ilman nimenomaista lukituksen avaamista.
- Ota käyttöön DNSSEC siellä, missä palveluntarjoajasi automatisoi sen — se pysäyttää väärennetyt DNS-vastaukset selvittäjän tasolla.
- Julkaise CAA-tietue, joka nimeää vain käyttämäsi varmentajat, jottei väärää varmennetta voida myöntää.
- Auditoi DNS roikkuvien tietueiden varalta — poista merkinnät, jotka osoittavat resursseihin, joita et enää hallitse.
- Älä koskaan anna keskeisten verkkotunnusten vanhentua — automaattinen rekisteröinnin uusiminen ja ajantasaiset yhteystiedot, jottei uusimisilmoitus koskaan livahda ohi.
Usein kysytyt kysymykset
Mitä verkkotunnuksen kaappaus on? Verkkotunnuksesi rekisteröinnin tai DNS:n haltuunottoa sen verkko- ja sähköpostiliikenteen uudelleenohjaamiseksi — koskaan murtautumatta varsinaisiin palvelimiisi.
Miten DNS:n kaappaus eroaa tästä? DNS:n kaappaus manipuloi nimenomaan tietueita, jotka selvittävät verkkotunnuksesi (tilin haltuunoton, välimuistin myrkytyksen tai vaarantuneen DNS-palveluntarjoajan kautta). DNSSEC suojaa väärennetyiltä vastauksilta; vain 1.99 %:lla verkkotunnuksista se on käytössä.
Mikä on ainoa paras suoja? Rekisteröijätilin lukitseminen — yksilöllinen salasana, MFA ja rekisteröijän siirtolukitus. Useimmat kaappaukset alkavat tiliin pääsystä, eivät nokkelista hyökkäyksistä.
Estääkö DNSSEC kaappauksen? Se pysäyttää yhden tärkeän luokan — väärennetyt/myrkytetyt DNS-vastaukset — mutta ei rekisteröijätilin haltuunottoa. Käytä sitä tilin suojauksen ja CAA:n rinnalla.
Onko mikään tästä kallista? Ei. Rekisteröijälukitus, DNSSEC ja CAA ovat ilmaisia asetuksia; kustannus on kurinalaisuus niiden soveltamiseen.
Tarkista verkkotunnuksesi DNS-suojaukset ilmaiseksi
Katso, ovatko DNSSEC ja CAA käytössä ja oikein määritetty — yksityisesti ja vain omistajalle.
Tarkista verkkotunnuksesi → · Korjaa DNSSEC → · Korjaa CAA → · Miten arvioimme → · Vain koostetut tiedot. Tiedot tallennetaan ja käsitellään EU:ssa.