DNS-kapning router

Jag skulle säga att det som du skriver. Att de tar sig in i routern, till exempel via ett säkerhetshål och lägger in deras DNS istället.

https://www.websiterating.com/sv/vpn/glossary/what-is-dns-hij...

Det F-Secure verkar syfta på där är specifikt att routerns DNS-inställningar ändrats.
Om den har förväntade inställningar, har ett bra lösenord, och hålls uppdaterad (utifall att det finns brister i routerns mjukvara som skulle tillåta att man ändå kan ändra inställningarna, utan lösenord) så har man väl hanterat det specifika problemet.

Ja, det där verkar vara så illa översatt (kanske även illa formulerat från början, svårbedömt) att det knappt går att läsa.

Men de huvudsakliga andra alternativen att oroa sig över:

* Ändrade DNS-inställningar lokalt på datorn som du använder (i bred bemärkelse, kan ju vara en PC, en mobiltelefon eller något annat). Det spelar ju ingen roll att din router har "rätt inställningar" om datorn har konfigurerats med egna inställningar istället för att använda de som routern föreslår via DHCP.
(Även relaterat men ej formellt en fråga om DNS, är då om någon lagt in konstigheter i hosts-filen lokalt på datorn, med lokalt definierade kopplingar av namn till IP.)

* En "förgiftningsattack" (DNS cache poisoning) utifrån. Domäner som ej nyttjar DNSSEC (kryptografiskt signerad DNS-data som går att verifiera att den är giltig) så finns det inget vattentätt skydd mot att en utomstående part skickar fejkade DNS-svar i hopp om att deras svar hinner fram före det riktiga svaret; om de lyckas skicka ett svar som "ser ut som ett svar på frågan" men med fejkat innehåll så kommer detta användas, och kan då t.ex. skicka användare till fel IP-adress (vilket då kan användas som grund för andra typer av attacker).
En sådan attack skulle kunna ske för DNS-trafik antingen mellan din router och dess (förhoppingsvis) korrekt konfigurerade DNS-uppslagsserver, eller mellan denna DNS-uppslagsserver och t.ex. namnservern för google.com (eller vilket namn attackeraren nu vill hitta på fejksvar för).
Om man som användare aktiverat DNS-over-TLS, DNS-over-HTTPS eller liknande så säkrar det kommunikationen i det förstnämnda steget ("mellan din dator/router och dess (förhoppingsvis) korrekt konfigurerade DNS-uppslagsserver"), men ej det sistnämnda ("mellan denna DNS-uppslagsserver och t.ex. namnservern för google.com").

Problemet med DNSSEC är att ägaren av den domänen man surfar mot måste aktivera det? Annars hjälper det inte, som jag fattat det.
https://dnssec-analyzer.verisignlabs.com/
Swedbank blev inte grön, medan både handelsbanken och seb blev det. Känns ju viktigt att en bank satsar på det, sweclockers verkar inte ha det heller

Under windows så har de grundläggande inställningarna legat i TCP/IP-inställningarna och sett likadana ut sedan väldigt länge.

Här (undre delen):

(Se t.ex. https://www.tp-link.com/us/support/faq/14/ för hur du kan navigera dit i olika versioner)

I Windows 11 finns det även lite nya, mer avancerade inställningar, där det går att aktivera DNS-over-HTTPS om det är av intresse. De ligger dock inte just där, kan se var man kan gräva fram de detaljerna...

Ja, mer eller mindre. Om du använder DNS-over-TLS eller DNS-over-HTTPS så har du tagit bort en av möjligheterna för detta, men det är ju inte heltäckande. I övrigt ligger hanteringen mer i domänägarens händer, med DNSSEC, men även då att du använder en uppslagsserver som validerar DNSSEC (de flesta stora tjänsterna gör det, men om du irrar ut i periferin eller använder någon mindre internetleverantörs egna så är det ju mer från fall till fall hur det ligger till)

Jag menade bara att det faktiskt är de inställningar som du avsåg att använda är de som är konfigurerade (i det enklaste fallet, att det är samma IP-adress till uppslagsservern som du avsåg att det skulle vara).