Defaults.Exposed › דוחות
חטיפת דומיינים ו-DNS: כיצד נגנבים דומיינים וכיצד לנעול את שלכם (2026)
פורסם 2026-07-01
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים על פני 261 מיליון דומיינים מדורגים. חטיפה משמעה השתלטות על ה-DNS או על רישום הדומיין שלכם כדי לנתב מחדש את התעבורה והדוא”ל שלו. ראו כיצד אנו מדרגים.
חטיפת דומיין אינה נוגעת באתר האינטרנט שלכם — היא משתלטת על ה-DNS או על חשבון רשם הדומיינים המצביע אליו, כך שהמבקרים והדוא”ל שלכם עצמם מנותבים בשקט לתוקף. שני בקרות ה-DNS שמפחיתות את הסיכון יותר מכול נמנות עם הפרוסות ביותר ברשת: רק ל-1.99% מהדומיינים יש DNSSEC תקין ורק 1.56% מפרסמים רשומת CAA. הנה כיצד נגנבים דומיינים וכיצד לנעול את שלכם.
כיצד דומיינים באמת נחטפים
- השתלטות על חשבון הרשם — סיסמה שנפלה קורבן לדיוג או סיסמה ממוחזרת בכניסה לרשם הדומיינים מאפשרת לתוקף לשנות שרתי שמות או להעביר את הדומיין כליל. הווקטור בעל ההשפעה הגבוהה ביותר, וגם הניתן למניעה בקלות הרבה ביותר.
- שיבוש רשומות DNS / הרעלת מטמון — תשובות DNS מזויפות מפנות משתמשים ודוא”ל למקום אחר. זה בדיוק מה שDNSSEC נועד לעצור — ול-1.99% מהדומיינים יש אותו (עם 3.02% נוספים החתומים אך שבורים).
- רשומות מיותמות — רשומת DNS שנותרה מצביעה על משאב ענן שכבר אינו בבעלותכם מאפשרת למישהו אחר לתפוס אותו (השתלטות על תת-דומיין).
- רישום מחדש של דומיין שפג — הניחו לדומיין לפוג וכל אחד יוכל לרשום אותו מחדש, בירושה עם התעבורה והאמון השיוריים שלו. על פני המפקד, 6.2% מהדומיינים כבר אינם ניתנים לפתרון — מאגר גדול של שמות שפגו. ראו הדומיינים המתים של האינטרנט.
- הנפקת אישורים זדונית — ללא רשומת CAA שמגבילה אילו רשויות רשאיות להנפיק עבור הדומיין שלכם, קל יותר להשיג אישור שהונפק בטעות. רק 1.56% מהדומיינים מגדירים אחת.
ריכוזיות מוסיפה זווית מערכתית
רוב הדומיינים מסתמכים על קומץ ספקי DNS, כך שלתקרית אצל ספק יחיד יש טווח השפעה חריג: מפעיל שרתי השמות הגדול ביותר לבדו משרת 15.4% מהדומיינים המשתמשים בספק מוכר, וחמשת המובילים יחד 42.1%. ריכוזיות אינה פגם שתוכלו לתקן לבד, אבל היא סיבה לוודא שהבקרות שכן בבעלותכם מוגדרות כראוי. ראו ריכוזיות שרתי שמות.
כיצד לנעול את הדומיין שלכם
- אבטחו את חשבון הרשם — סיסמה ייחודית, אימות רב-שלבי חזק, והפעלת נעילת רשם (העברה אסורה) כך שלא ניתן יהיה להעביר את הדומיין ללא ביטול נעילה מפורש.
- הפעילו DNSSEC במקום שבו המארח שלכם עושה זאת אוטומטית — זה עוצר תשובות DNS מזויפות אצל הפותר.
- פרסמו רשומת CAA שמנקבת רק את רשויות האישורים שבהן אתם משתמשים, כך שלא ניתן יהיה להנפיק אישור זדוני.
- בדקו את ה-DNS לרשומות מיותמות — הסירו רשומות המצביעות על משאבים שכבר אינם בשליטתכם.
- לעולם אל תניחו לדומיינים מרכזיים לפוג — הגדירו חידוש אוטומטי של הרישום ושמרו על פרטי קשר מעודכנים כך שהודעת חידוש לעולם לא תחמוק.
שאלות נפוצות
מהי חטיפת דומיין? השתלטות על רישום הדומיין או על ה-DNS שלו כדי לנתב מחדש את תעבורת הרשת והדוא”ל שלו — בלי לפרוץ אי פעם לשרתים שלכם עצמם.
במה שונה חטיפת DNS? חטיפת DNS משבשת באופן ספציפי את הרשומות שפותרות את הדומיין שלכם (באמצעות השתלטות על חשבון, הרעלת מטמון, או מארח DNS שנפרץ). DNSSEC מגן מפני תשובות מזויפות; רק ל-1.99% מהדומיינים יש אותו.
מהי ההגנה היחידה הטובה ביותר? נעילת חשבון הרשם — סיסמה ייחודית, אימות רב-שלבי, ונעילת העברה אצל הרשם. רוב החטיפות מתחילות בגישה לחשבון, לא בהתקפות מתוחכמות.
האם DNSSEC עוצר חטיפה? הוא עוצר סוג חשוב אחד — תשובות DNS מזויפות/מורעלות — אך לא השתלטות על חשבון הרשם. השתמשו בו לצד אבטחת חשבון ו-CAA.
האם משהו מכל זה יקר? לא. נעילת רשם, DNSSEC ו-CAA הם הגדרות חינמיות; העלות היא המשמעת ליישם אותן.
בדקו את הגנות ה-DNS של הדומיין שלכם בחינם
ראו האם DNSSEC ו-CAA קיימים ומוגדרים כראוי — באופן פרטי, ולבעלים בלבד.
בדקו את הדומיין שלכם ← · תקנו DNSSEC ← · תקנו CAA ← · כיצד אנו מדרגים ← · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.