Defaults.Exposed › Laporan
Pembajakan Domain dan DNS: Bagaimana Domain Dicuri dan Cara Mengunci Milik Anda (2026)
Diterbitkan 2026-07-01
Angka per 2026-06-29 · metodologi v7. Data sensus agregat di seluruh 261 juta domain yang dinilai. Pembajakan berarti mengambil alih kendali DNS atau registrasi domain Anda untuk mengalihkan lalu lintas dan surelnya. Lihat bagaimana kami menilai.
Pembajakan domain tidak menyentuh situs web Anda — pembajakan mengambil alih akun DNS atau registrar yang mengarah ke situs tersebut, sehingga pengunjung dan email Anda sendiri diam-diam dialihkan ke penyerang. Dua kontrol DNS yang paling mengurangi risiko justru termasuk yang paling jarang diterapkan di web: hanya 1.99% domain memiliki DNSSEC yang valid dan hanya 1.56% yang menerbitkan catatan CAA. Berikut adalah bagaimana domain dicuri dan cara mengunci milik Anda.
Bagaimana domain sebenarnya dibajak
- Pengambilalihan akun registrar — kata sandi yang terkena phishing atau dipakai ulang pada login registrar Anda memungkinkan penyerang mengubah nameserver atau mentransfer domain sepenuhnya. Vektor dengan dampak tertinggi, sekaligus yang paling dapat dicegah.
- Manipulasi catatan DNS / peracunan cache — jawaban DNS palsu mengarahkan pengguna dan surel ke tempat lain. Inilah tepatnya yang dirancang untuk dihentikan oleh DNSSEC — dan 1.99% domain memilikinya (dengan tambahan 3.02% yang ditandatangani tetapi rusak).
- Catatan menggantung (dangling) — entri DNS yang dibiarkan mengarah ke sumber daya cloud yang tidak lagi Anda miliki memungkinkan orang lain mengklaimnya (pengambilalihan subdomain).
- Registrasi ulang domain kedaluwarsa — biarkan sebuah domain kedaluwarsa dan siapa pun dapat meregistrasikannya kembali, mewarisi lalu lintas dan kepercayaan sisanya. Di seluruh sensus, 6.2% domain tidak lagi teresolusi — sebuah kumpulan besar nama yang telah kedaluwarsa. Lihat domain mati di internet.
- Penerbitan sertifikat jahat — tanpa catatan CAA yang membatasi otoritas mana yang boleh menerbitkan untuk domain Anda, sertifikat yang salah terbit lebih mudah diperoleh. Hanya 1.56% domain yang menyetelnya.
Konsentrasi menambah sudut sistemik
Sebagian besar domain bergantung pada segelintir penyedia DNS, sehingga satu insiden penyedia memiliki jangkauan yang sangat besar: operator nameserver terbesar saja melayani 15.4% domain yang menggunakan penyedia yang dikenali, dan lima teratas bersama-sama 42.1%. Konsentrasi bukanlah cacat yang bisa Anda perbaiki sendirian, tetapi itu adalah alasan untuk memastikan kontrol yang memang Anda miliki dilakukan dengan benar. Lihat konsentrasi nameserver.
Cara mengunci domain Anda
- Amankan akun registrar — kata sandi unik, MFA yang kuat, dan aktifkan kunci registrar (transfer dilarang) sehingga domain tidak dapat dipindahkan tanpa pembukaan kunci secara eksplisit.
- Aktifkan DNSSEC jika host Anda mengotomatiskannya — DNSSEC menghentikan jawaban DNS palsu di resolver.
- Terbitkan catatan CAA yang menyebutkan hanya otoritas sertifikat yang Anda gunakan, sehingga sertifikat jahat tidak dapat diterbitkan.
- Audit DNS untuk catatan menggantung — hapus entri yang mengarah ke sumber daya yang tidak lagi Anda kendalikan.
- Jangan pernah membiarkan domain penting kedaluwarsa — otomatiskan perpanjangan registrasi dan jaga detail kontak tetap terkini sehingga pemberitahuan perpanjangan tidak pernah terlewat.
Pertanyaan yang sering diajukan
Apa itu pembajakan domain? Mengambil alih registrasi atau DNS domain Anda untuk mengalihkan lalu lintas web dan emailnya — tanpa pernah menembus server Anda yang sebenarnya.
Apa bedanya dengan pembajakan DNS? Pembajakan DNS secara khusus memanipulasi catatan yang meresolusi domain Anda (melalui pengambilalihan akun, peracunan cache, atau host DNS yang disusupi). DNSSEC bertahan terhadap jawaban palsu; hanya 1.99% domain yang memilikinya.
Apa perlindungan terbaik yang tunggal? Mengunci akun registrar — kata sandi unik, MFA, dan kunci transfer registrar. Sebagian besar pembajakan dimulai dari akses akun, bukan serangan yang canggih.
Apakah DNSSEC menghentikan pembajakan? DNSSEC menghentikan satu kelas penting — jawaban DNS yang dipalsukan/diracuni — tetapi bukan pengambilalihan akun registrar. Gunakan bersama keamanan akun dan CAA.
Apakah ada di antara ini yang mahal? Tidak. Kunci registrar, DNSSEC, dan CAA adalah pengaturan gratis; biayanya adalah disiplin untuk menerapkannya.
Periksa pertahanan DNS domain Anda secara gratis
Lihat apakah DNSSEC dan CAA sudah ada dan dikonfigurasi dengan benar — secara privat, dan hanya untuk pemilik.
Periksa domain Anda → · Perbaiki DNSSEC → · Perbaiki CAA → · Bagaimana kami menilai → · Hanya data agregat. Data disimpan dan diproses di UE.