Truffe DNS e protezione DNSSEC (2026): Cosa devono sapere i proprietari di siti web - IT

di   |  Ultimo aggiornamento:  |  0 Commenti  

Su questa pagina: [nascondere]

  1. Minaccia a colpo d'occhio
  2. Come funzionano gli attacchi DNS
  3. Cosa fa realmente DNSSEC (e non lo fa)
  4. La truffa di phishing โ€œDNS sicuroโ€ che prende di mira i proprietari di siti web
  5. Il panorama delle minacce DNS in 2026
  6. Come proteggere il tuo sito web e i tuoi visitatori
  7. Come verificare se sei stato preso di mira
  8. Domande frequenti
  9. Verdetto finale

Ricevi un'e-mail dal tuo provider di hosting. Riga dell'oggetto: “Azione richiesta: Aggiorna il tuo dominio a DNSSEC.” Il logo corrisponde, il nome del mittente sembra corretto, e il messaggio spiega che devi attivare gratuitamente le estensioni di sicurezza DNS. Fai clic sul collegamento, inserisci la tua password WordPress in quella che sembra una procedura guidata di aggiornamento, e vai avanti con la tua giornata. Due ore dopo, qualcun altro controlla il tuo sito web.

Quello esatto scenario si รจ verificato 2020 quando i ricercatori di Sophos hanno documentato una campagna di phishing rivolta ai proprietari di siti WordPress. I truffatori hanno raccolto dati WHOIS per personalizzare ogni e-mail in modo che corrispondesse all'effettivo provider di hosting di ciascuna vittima. Sei anni dopo, Gli attacchi basati su DNS sono peggiorati. Secondo il rapporto globale sulle minacce DNS di IDC/EfficientIP, 90% delle organizzazioni ha subito almeno un attacco DNS, con un costo medio di Dollaro statunitense 1.1 milioni per incidente.

Risposta rapida: DNSSEC aggiunge firme crittografiche ai record DNS, prevenire lo spoofing e l'avvelenamento della cache. Ma copre solo un vettore di attacco. La protezione DNS completa richiede l'autenticazione a due fattori sugli account di hosting, risolutori DNS crittografati (Cloudflare 1.1.1.1, Quad9 9.9.9.9), e sapere come individuare le email di phishing camuffate da “aggiornamenti di sicurezza.”

Ultima revisione: aprile 2026. Dati sugli attacchi e statistiche DNSSEC verificati.

Immagine del logo Wordpress

Minaccia a colpo d'occhio

  • Tipo di minaccia: Spoofing DNS, avvelenamento della cache, phishing, dirottamento del dominio
  • Chi รจ preso di mira: Proprietari di siti web, Amministratori di WordPress, chiunque abbia un dominio
  • Scala: 90% delle organizzazioni colpite da attacchi DNS; 70,000+ domini dirottati tramite il “Anatre sedute” sola tecnica
  • Costo medio per attacco: Dollaro statunitense 1.1 milione (IDC/EfficientIP 2023)
  • Adozione DNSSEC: Solo 4.27% di domini a livello globale (febbraio 2026)
  • Difesa chiave: 2FA su tutti gli account di hosting, risolutori DNS sicuri, DNSSEC dove supportato, e senza mai fare clic “aggiornamento” collegamenti nelle e-mail

Come funzionano gli attacchi DNS

Ogni visita al sito web inizia con una ricerca DNS. Il tuo browser richiede un risolutore “qual รจ l'indirizzo IP di questo dominio?” e la risposta rimbalza su piรน server prima di arrivare. Ogni salto in quella catena รจ un potenziale punto di manipolazione. Gli aggressori sfruttano questa situazione inserendo falsi record DNS, reindirizzare i visitatori a copie false di siti legittimi, o intercettare completamente le ricerche.

Quattro tipi di attacco si verificano piรน spesso:

Spoofing DNS e avvelenamento della cache

Un utente malintenzionato inserisce dati DNS corrotti nella cache di un risolutore. Quando gli utenti provano a visitare il tuo sito web, vengono invece inviati a una versione falsa. Il vero pericolo? I visitatori vedono il tuo nome di dominio nel loro browser, quindi non hanno alcuna ragione evidente per sospettare che ci sia qualcosa che non va. Le loro credenziali di accesso, dettagli di pagamento, e i dati personali arrivano direttamente allโ€™aggressore.

Dirottamento DNS

Invece di avvelenare una cache, i dirottatori prendono il controllo diretto dei record o dei server DNS. Il “Anatre sedute” l'attacco รจ un buon esempio. Documentato da Infoblox in 2024, sfrutta le deleghe di dominio configurate in modo errato. Al di sopra di 70,000 i domini sono giร  stati violati Da questa parte. Un altro 800,000 rimanere vulnerabili. Un gruppo di minacce, “Falco frettoloso,” ha utilizzato domini violati per eseguire il phishing DHL 200+ siti.

Tunneling DNS

Questo รจ subdolo. I malintenzionati codificano i dati all'interno delle query DNS per far passare le informazioni oltre i firewall. Poichรฉ la maggior parte delle reti consente il traffico DNS liberamente, รจ un punto cieco. I dati rubati scompaiono, arrivano i comandi del telecomando, e niente fa scattare un avviso di sicurezza standard.

Farmazione

Un cugino piรน tranquillo dello spoofing. Il pharming reindirizza gli utenti da siti Web legittimi a copie contraffatte. Funziona attraverso lโ€™avvelenamento del DNS a livello del risolutore o tramite malware che modifica le impostazioni DNS sul dispositivo della vittima. Un modo per catturarlo: i gestori di password non compilano automaticamente le pagine pharming perchรฉ il dominio sottostante non corrisponde.

Cosa fa realmente DNSSEC (e non lo fa)

DNSSEC (Estensioni di sicurezza del sistema dei nomi di dominio) aggiunge firme crittografiche ai record DNS. Consideratelo come un sigillo a prova di manomissione. Quando un risolutore DNS riceve una risposta firmata, puรฒ verificare che i dati provengano dal server dei nomi reali e non siano stati alterati durante il trasporto. Ciรฒ crea una catena di fiducia dai server DNS root fino al tuo dominio specifico.

Cosa ferma:

  • Avvelenamento e spoofing della cache DNS (Le risposte DNS contraffatte vengono rifiutate perchรฉ prive di firme valide)
  • Attacchi man-in-the-middle alle risposte DNS
  • Falsificazione di risposte da parte di aggressori che fingono di essere server autorevoli

In cosa non aiuterร  (e questo conta altrettanto):

  • Attacchi DDoS (DNSSEC esegue l'autenticazione, non filtra il traffico)
  • Riservatezza dei dati (Le query DNS rimangono visibili a chiunque guardi la rete; DNSSEC firma ma non crittografa)
  • Phishing tramite domini simili (Anche il dominio di un truffatore puรฒ avere DNSSEC perfettamente validi)
  • Tunneling DNS (DNSSEC convalida i record, non il contenuto codificato nelle query)
  • Server autorevoli compromessi (se la fonte stessa viene violata, DNSSEC firma fedelmente i dati errati)

In conclusione: DNSSEC รจ un livello necessario ma non una soluzione completa. Chiude una vulnerabilitร  specifica lasciandone aperte molte altre.

Quasi nessuno usa DNSSEC

Nonostante sia disponibile da oltre un decennio, solo 4.27% di domini avere DNSSEC abilitato a livello globale (DNSChkr, febbraio 2026). Questo รจ 10.3 milioni su 240 milione. Alcuni paesi europei come Svezia e Danimarca si spingono oltre 50%, ma il tasso medio globale di convalida รจ pari a solo 35.4%. Perchรฉ cosรฌ basso? La maggior parte dei proprietari di siti Web non puรฒ abilitarlo da solo. รˆ una decisione da parte del fornitore. Non esiste un indicatore di fiducia visibile nei browser, quindi nessuno lo pretende. Ed ecco il kicker: DNSSEC configurato in modo errato รจ peggio di nessun DNSSEC. Causa il fallimento completo del dominio (Errori SERVFAIL) invece di fallire con grazia.

Il “DNS sicuro” Truffa di phishing che prende di mira i proprietari di siti web

Ciรฒ che rende intelligente questa truffa รจ l'esca. Ha sfruttato la stessa consapevolezza DNSSEC per rubare credenziali. Ecco come.

Primo, i truffatori hanno cancellato i record WHOIS, Indirizzi IP, e intestazioni HTTP per identificare il provider di hosting di ciascun target. Quindi hanno inviato e-mail di phishing spacciandosi per quel provider, offrendo un “aggiornamento gratuito da DNS di base a DNSSEC.” Il messaggio sembrava reale: “Stiamo aggiornando il tuo DNS di dominio per qualcosa di ancora migliore, liberamente!”

Facendo clic sul collegamento si รจ aperto un falso “Assistente aggiornamento” che corrispondeva al marchio del provider di hosting. Loghi corretti, giusta combinazione di colori, le opere. UN “Come utilizzare questo assistente” Il pulsante ha guidato le vittime attraverso l'immissione delle credenziali di WordPress. Dopo l'invio, messaggi di avanzamento falsi simulati “firma del file” e “aggiornamenti del sistema” prima che la pagina finisse con a 404 errore o reindirizzamento sospetto.

Il risultato: gli aggressori hanno catturato le password dell'amministratore di WordPress. Senza autenticazione a due fattori, hanno acquisito il pieno controllo del sito web della vittima.

Chi รจ stato impersonato? WordPress.com, Namecheap, HostGator, e Microsoft Azure. Ogni pagina di phishing si personalizza automaticamente utilizzando parametri URL con codifica base64, corrispondente al fornitore effettivo del target.

Questo modello di attacco รจ scomparso? Affatto. Il DNS e il phishing a tema di sicurezza rimangono comuni perchรฉ creano urgenza (“il tuo dominio รจ a rischio”) e inseguire i proprietari di siti Web che tendono ad avere credenziali preziose.

Il panorama delle minacce DNS in 2026

Onestamente, Gli attacchi DNS non stanno rallentando. Si stanno ridimensionando. Cloudflare mitigato 47.1 milioni di attacchi DDoS in 2025, un' 121% aumentare oltre 2024. Gli attacchi di amplificazione DNS sono aumentati in modo specifico 340%, guidato da un numero crescente di risolutori DNS aperti utilizzati in modo improprio come moltiplicatori di traffico.

Alcuni sviluppi a cui vale la pena prestare attenzione:

  • Sitting Ducks รจ ancora attivo. Documentato per la prima volta in 2024, sfrutta questa tecnica di dirottamento DNS “delegazione zoppa” errate configurazioni. รˆ attivo da allora 2018 e rimane senza patch su centinaia di migliaia di domini. I gruppi di minacce ruotano i domini compromessi ogni 30-60 giorni, rendendo piรน difficile il rilevamento
  • Lโ€™intelligenza artificiale sta accelerando la sofisticazione degli attacchi. Secondo Heimdal Sicurezza, 85% dei professionisti della sicurezza attribuisce lโ€™aumento degli attacchi DNS agli autori delle minacce che utilizzano lโ€™intelligenza artificiale generativa per la ricognizione, generazione di contenuti di phishing, e attaccare l'automazione
  • Avvelenamento DNS sponsorizzato dallo Stato. Quello legato alla Cina “Panda evasivo” Il gruppo APT ha utilizzato l'avvelenamento della cache DNS tra 2022 e 2024 per fornire la backdoor MgBot, manipolando come le vittime’ i sistemi risolvevano domini legittimi
  • LEGAMENTO 9 vulnerabilitร . CVE-2025-40778 e CVE-2025-40780, divulgato in ottobre 2025, server DNS esposti che eseguono BIND 9 (il software server DNS piรน utilizzato) per nascondere l'avvelenamento. Le patch sono disponibili ma l'adozione richiede tempo

Anche il NIST se ne รจ accorto. Hanno pubblicato SP 800-81r3 a marzo 2026, il primo aggiornamento alle linee guida sulla sicurezza DNS in 13 anni. Il nuovo framework tratta il DNS come un livello attivo di applicazione della sicurezza e impone il DNS crittografato, DNS protettivo, e disboscamento forense per gli Stati Uniti. agenzie federali.

Come proteggere il tuo sito web e i tuoi visitatori

Nessuna singola casella di controllo risolve la sicurezza DNS. Ci vuole una combinazione di misure tecniche e consapevolezza. Questi passaggi iniziano con le azioni di maggiore impatto che qualsiasi proprietario del sito puรฒ intraprendere in questo momento.

Blocca prima i tuoi account di hosting e di dominio

Questo รจ il passo piรน importante, e non richiede alcuna conoscenza tecnica. La truffa di phishing DNSSEC ha funzionato perchรฉ le vittime hanno inserito credenziali reali in una pagina falsa. Tre cose lo impediscono:

  • Abilitare autenticazione a due fattori su ogni hosting, registrar del dominio, e account CMS. Chiavi hardware (YubiKey, Titano) sono piรน forti. Le app di autenticazione sono la seconda migliore. I codici SMS sono meglio di niente
  • Utilizza un gestore di password. Non riempirร  automaticamente le credenziali sui domini di phishing perchรฉ l'URL non corrisponderร . Questa mancata corrispondenza รจ il tuo avviso automatico
  • Non fare mai clic su DNS o sicurezza “aggiornamento” collegamenti nelle e-mail. Accedi direttamente alla dashboard del tuo provider digitando tu stesso l'URL. Se esiste un vero aggiornamento, sarร  lรฌ

Passa a un risolutore DNS sicuro

Il tuo risolutore DNS predefinito, solitamente assegnato dal tuo ISP, spesso manca di moderne funzionalitร  di sicurezza. Il passaggio richiede circa due minuti e migliora immediatamente sia la privacy che la protezione.

  • Cloudflare 1.1.1.1: Il risolutore piรน veloce in 72% delle localitร  testate. Privacy controllata annualmente da KPMG (4trentesimo anno consecutivo). Supporta DoH e DoT. Utilizzo 1.1.1.2 per il blocco malware integrato
  • Quad9 9.9.9.9: No-profit svizzera, nessuna registrazione IP. Blocca i domini dannosi noti per impostazione predefinita, catturare 96.66% nei test indipendenti (giugno 2025). 259 posizioni dei server in tutto 106 paesi
  • Google 8.8.8.8: Infrastruttura globale affidabile con tempi di attivitร  costanti. I dati delle query potrebbero essere conservati piรน a lungo rispetto alle alternative incentrate sulla privacy ai sensi della politica generale sulla privacy di Google

Abilita DNSSEC sul tuo dominio

Controlla se il tuo registrar e provider di hosting supportare DNSSEC. La maggior parte dei principali registrar (Cloudflare, Namecheap, Google Domains) offrire l'attivazione con un clic. Se il tuo registrar lo supporta ma il tuo hosting no, potresti dover gestire il DNS direttamente tramite il tuo registrar.

Utilizza protocolli DNS crittografati

La maggior parte delle persone non se ne rende conto: le query DNS standard viaggiano in testo semplice. Chiunque sul percorso di rete puรฒ leggerli e modificarli. Le alternative crittografate risolvono questo problema:

  • DNS su HTTPS (DoH): Esegue query DNS tramite HTTPS crittografato sulla porta 443. Supportato da Firefox, Cromo, Bordo, e la maggior parte dei browser moderni
  • DNS su TLS (Punto): Crittografa il traffico DNS su una porta dedicata (853). Piรน trasparente per gli amministratori che necessitano di visibilitร  sui modelli di traffico DNS
  • DNS su QUIC (DoQ): L'opzione piรน recente. Combina la crittografia con una latenza inferiore. Ancora in fase di adozione anticipata

Monitora la tua configurazione DNS

Non aspettare che i visitatori ti dicano che qualcosa non va. Imposta avvisi per le modifiche ai record DNS tramite il tuo registrar o un servizio di monitoraggio. Se qualcuno modifica il tuo A, MX, o record NS a tua insaputa, vuoi prenderlo lo stesso giorno, non settimane dopo. Controlli regolari rilevano le modifiche non autorizzate prima che causino danni reali.

Mantieni aggiornata l'infrastruttura

Il LEGAME 9 vulnerabilitร  da tardi 2025 sono un promemoria: Il software del server DNS necessita di patch come tutto il resto. Se gestisci la tua infrastruttura DNS, rimani aggiornato sugli avvisi di sicurezza. Se usi Hosting VPS o server dedicati, verifica che il tuo provider aggiusti tempestivamente i propri risolutori DNS.

Come verificare se sei stato preso di mira

Gli attacchi DNS non sempre si annunciano. Il tuo sito potrebbe reindirizzare i visitatori a una pagina di phishing in questo momento e non lo sapresti a meno che qualcuno non lo segnali. Ecco come verificare.

Verifica che i tuoi record DNS non siano cambiati

Accedi al tuo registrar di domini e confronta il tuo attuale dominio A, AAAA, MX, e i record NS rispetto a quelli che dovrebbero essere. Se non ricordi i valori corretti, verifica con il supporto del tuo provider di hosting. Qualsiasi record che non hai modificato รจ un campanello d'allarme.

Verifica l'accesso non autorizzato

Controlla la cronologia degli accessi sul pannello di controllo del tuo hosting, registrar del dominio, e amministratore di WordPress. Cerca accessi da indirizzi IP o posizioni sconosciute. Se il tuo provider di hosting non offre la cronologia degli accessi, questo รจ un motivo per considerare di passare a uno che lo faccia.

Metti alla prova la risoluzione DNS del tuo dominio

Interroga il tuo dominio da piรน posizioni utilizzando uno strumento come DNSChecker.org. Controlla dozzine di risolutori globali contemporaneamente. Se i risultati differiscono tra le localitร , qualcuno potrebbe aver avvelenato un nascondiglio da qualche parte nella catena.

Cerca malware DNS locale

Alcuni attacchi DNS non prendono affatto di mira il tuo dominio. Anzichรฉ, modificano le impostazioni DNS del tuo dispositivo locale o la configurazione del router. Se il tuo computer ti ha reindirizzato a indirizzi errati, oppure le impostazioni DNS del tuo router sono state modificate a tua insaputa, รจ probabile che sia coinvolto malware. Cacciatore di spie 5 (finestre) oppure SpyHunter per Mac puรฒ rilevare cambia DNS e browser hijacker che reindirizzano silenziosamente il tuo traffico attraverso risolutori dannosi.

Controlla anche il pannello di amministrazione del tuo router. Guarda le impostazioni del server DNS. Se puntano a qualcosa di diverso dai server del tuo ISP o da un risolutore pubblico noto (1.1.1.1, 8.8.8.8, 9.9.9.9), ripristinali immediatamente e aggiorna il firmware del router.

Domande frequenti

Qual รจ la differenza tra DNS e DNSSEC?

Pensa al DNS (Domain Name System) come rubrica di Internet: traduce i nomi di dominio in indirizzi IP. Il problema รจ che รจ stato progettato negli anni '80 senza alcuna sicurezza integrata. DNSSEC aggiunge firme crittografiche ai record DNS in modo che i risolutori possano verificare che i dati non siano stati manomessi durante il transito. Il DNS ti dice l'indirizzo; DNSSEC conferma che l'indirizzo รจ legittimo.

DNSSEC puรฒ prevenire tutti gli attacchi DNS?

Nemmeno vicino. DNSSEC impedisce lo spoofing DNS e l'avvelenamento della cache autenticando le risposte DNS. Questo รจ tutto. Non fermerร  gli attacchi DDoS, Dirottamento DNS tramite account compromessi, Tunneling DNS, o phishing con domini simili registrati correttamente. Sono necessari piรน livelli di protezione che lavorino insieme. Risolutori DNS crittografati, autenticazione forte, e il monitoraggio colmano le lacune che DNSSEC lascia aperte.

Come faccio a sapere se il mio dominio ha DNSSEC abilitato?

Due strumenti gratuiti lo rendono semplice. Analizzatore DNSSEC di Verisign e DNSViz entrambi ti consentono di accedere al tuo dominio e vedere immediatamente se DNSSEC รจ attivo, se la catena di fiducia รจ valida, ed eventuali problemi di configurazione. Puoi anche controllare la dashboard del tuo registrar. Lo stato DNSSEC si trova solitamente nelle impostazioni DNS. Se non รจ elencato, il tuo registrar potrebbe non supportarlo ancora.

Dovrei preoccuparmi per il “Aggiornamento DNS sicuro” e-mail di phishing?

Se ricevi un'e-mail che offre a “DNS gratuiti” o “Aggiornamento DNSSEC,” non fare clic su alcun collegamento. Nessun host legittimo invia e-mail di aggiornamento non richieste che richiedono la password del CMS. Vai al sito web del tuo provider digitando manualmente l'indirizzo e verifica la presenza di notifiche reali nella dashboard. In caso di dubbio, contattare l'assistenza tramite i canali ufficiali. La campagna di Sophos ha impersonato Namecheap, HostGator, e Azure, quindi il solo riconoscimento del marchio non รจ una prova di legittimitร .

Verdetto finale

Nessuno si sveglia pensando “Dovrei controllare la mia sicurezza DNS oggi.” Questo รจ esattamente ciรฒ su cui contano gli aggressori. Quando il DNS va storto, le conseguenze colpiscono duramente: dati dei visitatori rubati, le classifiche di ricerca sono crollate, reputazione in rovina. Quella 90% il tasso di attacco di IDC/EfficientIP non รจ una tattica intimidatoria. รˆ la realtร  di quanto aggressivamente lโ€™infrastruttura DNS venga presa di mira.

Abilita DNSSEC se il tuo registrar lo supporta. A 4.27% adozione globale, sarai in vantaggio 95% di Internet. Ma non fermarti qui. Passa a un risolutore sicuro come Cloudflare 1.1.1.1 o Quad9 9.9.9.9, attiva il DNS crittografato (DoH o DoT), e blocca i tuoi account di hosting con l'autenticazione a due fattori. Nessuno di questi richiede piรน di qualche minuto. Insieme, ti rendono un bersaglio molto piรน difficile.

Ricorda il “DNS sicuro” truffa di phishing? Gli aggressori hanno utilizzato come arma la consapevolezza della sicurezza stessa. Contavano che i proprietari dei siti web volessero fare la cosa giusta. Quindi mantieni questa regola: non agire mai su un'e-mail di sicurezza facendo clic sui suoi collegamenti. Vai tu stesso alla dashboard del tuo provider. Se l'aggiornamento รจ reale, sarร  proprio lรฌ.

Per ulteriori informazioni sulla scelta di un provider di hosting con potenti funzionalitร  di sicurezza, esplora le nostre guide al i migliori provider di cloud hosting e opzioni del server dedicato. Se gestisci un sito WordPress e desideri che la sicurezza gestita sia gestita per te, Nostro hosting WordPress gestito il confronto copre i fornitori con protezione DNS integrata e aggiornamenti automatici.

Ricercato e scritto da:
Editor di HowToHosting
HowToHosting.guide fornisce competenze e approfondimenti sul processo di creazione di blog e siti Web, trovare il giusto provider di hosting, e tutto ciรฒ che si frappone. Per saperne di piรน...

Nessun argomento correlato.

Lascio un commento

L'indirizzo email non verrร  pubblicato. i campi richiesti sono contrassegnati *

Questo sito web utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito acconsenti a tutti i cookie in conformitร  con la ns politica sulla riservatezza.
Sono d'accordo
Su HowToHosting.Guide, offriamo recensioni trasparenti di web hosting, garantire lโ€™indipendenza dalle influenze esterne. Le nostre valutazioni sono imparziali poichรฉ applichiamo standard rigorosi e coerenti a tutte le recensioni.
Mentre potremmo guadagnare commissioni di affiliazione da alcune delle societร  presenti, queste commissioni non compromettono l'integritร  delle nostre recensioni nรฉ influenzano le nostre classifiche.
I guadagni dell'affiliato contribuiscono a coprire l'acquisizione dell'account, spese di prova, Manutenzione, e lo sviluppo del nostro sito web e dei sistemi interni.
Affidati a howtohosting.guide per approfondimenti affidabili e sinceritร  sull'hosting.