Defaults.Exposed › Poročila
Ugrabitev domene in DNS: kako pride do kraje domen in kako zaščititi svojo (2026)
Objavljeno 2026-07-01
Podatki na dan 2026-06-29 · metodologija v7. Zbirni popisni podatki za 261 milijonov ocenjenih domen. Ugrabitev pomeni prevzem nadzora nad DNS ali registracijo vaše domene z namenom preusmeritve njenega prometa in pošte. Oglejte si kako ocenjujemo.
Ugrabitev domene se ne dotakne vašega spletnega mesta — prevzame DNS ali račun pri registratorju, ki kaže nanj, tako da so vaši lastni obiskovalci in e-pošta tiho preusmerjeni k napadalcu. Dva nadzora DNS, ki najbolj zmanjšata tveganje, sta med najmanj razširjenimi na spletu: le 1.99 % domen ima veljaven DNSSEC in zgolj 1.56 % objavlja zapis CAA. Tukaj je opisano, kako pride do kraje domen in kako zaščititi svojo.
Kako v resnici pride do ugrabitve domen
- Prevzem računa pri registratorju — z geslom, pridobljenim s phishingom, ali ponovno uporabljenim geslom za prijavo pri registratorju lahko napadalec spremeni imenske strežnike ali domeno v celoti prenese. Vektor z največjim učinkom in hkrati najbolj preprečljiv.
- Ponarejanje zapisov DNS / zastrupitev predpomnilnika — ponarejeni odgovori DNS usmerijo uporabnike in pošto drugam. Prav to je tisto, kar naj bi DNSSEC ustavil — in ima ga 1.99 % domen (nadaljnjih 3.02 % pa je podpisanih, a pokvarjenih).
- Viseči zapisi — zapis DNS, ki še vedno kaže na oblačni vir, ki ni več vaš, omogoča, da si ga prisvoji nekdo drug (prevzem poddomene).
- Ponovna registracija potekle domene — če pustite domeno poteči, jo lahko kdorkoli ponovno registrira in podeduje njen preostali promet in zaupanje. V celotnem popisu 6.2 % domen ne razrešuje več — velik bazen poteklih imen. Oglejte si mrtve domene interneta.
- Izdaja lažnega potrdila — brez zapisa CAA, ki omejuje, kateri organi lahko izdajo potrdilo za vašo domeno, je napačno izdano potrdilo laže pridobiti. Le 1.56 % domen ga nastavi.
Koncentracija dodaja sistemski vidik
Večina domen se zanaša na peščico ponudnikov DNS, zato ima incident pri enem samem ponudniku nesorazmeren doseg: največji operater imenskih strežnikov sam streže 15.4 % domen, ki uporabljajo prepoznanega ponudnika, prvih pet skupaj pa 42.1 %. Koncentracija ni napaka, ki bi jo lahko odpravili sami, je pa razlog, da pravilno uredite nadzore, ki so v vaši pristojnosti. Oglejte si koncentracijo imenskih strežnikov.
Kako zaščititi svojo domeno
- Zavarujte račun pri registratorju — enkratno geslo, močan MFA in vklopite zaklep pri registratorju (prenos prepovedan), tako da domene ni mogoče premakniti brez izrecnega odklepa.
- Omogočite DNSSEC tam, kjer ga vaš gostitelj samodejno ureja — pri razreševalniku ustavi ponarejene odgovore DNS.
- Objavite zapis CAA, ki navaja le organe za izdajo potrdil, ki jih uporabljate, tako da lažnega potrdila ni mogoče izdati.
- Preverite DNS glede visečih zapisov — odstranite zapise, ki kažejo na vire, ki jih ne nadzorujete več.
- Ključnih domen nikoli ne pustite poteči — vklopite samodejno podaljšanje registracije in vzdržujte ažurne kontaktne podatke, tako da vam obvestilo o podaljšanju nikoli ne uide.
Pogosta vprašanja
Kaj je ugrabitev domene? Prevzem nadzora nad registracijo ali DNS vaše domene z namenom preusmeritve njenega spletnega in e-poštnega prometa — ne da bi kdaj vdrli v vaše dejanske strežnike.
Po čem se razlikuje ugrabitev DNS? Ugrabitev DNS posebej posega v zapise, ki razrešujejo vašo domeno (prek prevzema računa, zastrupitve predpomnilnika ali kompromitiranega gostitelja DNS). DNSSEC brani pred ponarejenimi odgovori; ima ga le 1.99 % domen.
Katera je edina najboljša zaščita? Zavarovanje računa pri registratorju — enkratno geslo, MFA in zaklep prenosa pri registratorju. Večina ugrabitev se začne z dostopom do računa, ne z domiselnimi napadi.
Ali DNSSEC ustavi ugrabitev? Ustavi en pomemben razred — ponarejene/zastrupljene odgovore DNS — ne pa prevzema računa pri registratorju. Uporabljajte ga skupaj z zaščito računa in CAA.
Ali je kaj od tega drago? Ne. Zaklep pri registratorju, DNSSEC in CAA so brezplačne nastavitve; strošek je disciplina, da jih uporabite.
Brezplačno preverite obrambo DNS vaše domene
Preverite, ali sta DNSSEC in CAA vzpostavljena in pravilno nastavljena — zasebno in dostopno le lastniku.
Preverite svojo domeno → · Popravite DNSSEC → · Popravite CAA → · Kako ocenjujemo → · Samo zbirni podatki. Podatki shranjeni in obdelani v EU.