Przechwytywanie DNS to proces, w którym internauci mogą zostać przekierowani do innej witryny, niż ta, do której chcą dotrzeć. System nazw domen (DNS) to zestaw protokołów używanych do umożliwienia użytkownikom łączenia się z różnymi witrynami internetowymi. Gdy użytkownik wpisuje określony adres internetowy, serwer DNS tłumaczy ten adres na adres protokołu internetowego (IP) i kieruje użytkownika do odpowiedniej witryny. Przechwytywanie DNS zmienia jednak ten proces, tak że użytkownik jest kierowany na inny adres IP niż właściwy.
Sposób, w jaki dochodzi do przejęcia DNS, zależy od tego, w jaki sposób użytkownicy w Internecie łączą się ze stronami internetowymi. Większość użytkowników odwiedza witrynę, wpisując adres w przeglądarce lub za pomocą wyszukiwarki, która wyświetla adresy witryn na podstawie wyników wyszukiwania. Gdy użytkownik wpisze adres, taki jak www.Popeye and Cloudy.com, serwer DNS odbiera to żądanie, ale witryny internetowe nie są w rzeczywistości hostowane na serwerach korzystających z tego typu nazw adresów. Adresy IP, które są unikalne i składają się z szeregu liczb, służą do organizowania i przypisywania lokalizacji w Internecie dla każdej witryny.
Serwer DNS tłumaczy adres wpisany przez użytkownika na właściwy adres IP, a następnie łączy tego użytkownika z odpowiednim serwerem dla tej witryny. Do przejęcia DNS dochodzi jednak, gdy serwer DNS kieruje użytkownika do strony internetowej innej niż ta, do której powinien dotrzeć na podstawie wpisanego adresu. Może to być szczególnie niebezpieczny rodzaj ataku stosowany przez hakerów, ponieważ użytkownik może być całkowicie nieświadomy, że nie zagląda do właściwej witryny. Przejęcie DNS skutecznie odbywa się „za kulisami” nawigacji w Internecie, a okno przeglądarki użytkownika prawdopodobnie wyświetli poprawną nazwę witryny.
Kiedy hakerzy wykorzystują przejęcie DNS do przekierowywania użytkowników do złośliwej wersji strony internetowej, nazywa się to „pharmingiem”. Zhakowany serwer DNS może na przykład otrzymać żądanie użytkownika dotyczące www.pretendbank.com. Zamiast odsyłać użytkownika do rzeczywistej witryny banku, odsyła jednak użytkownika do fałszywej wersji witryny, często tworzonej tak, aby wyglądała jak prawdziwa wersja. Gdy użytkownik próbuje wprowadzić swoje informacje zabezpieczające, serwis rejestruje te informacje, a następnie wskazuje użytkownikowi, że system jest w tej chwili niedostępny. Informacje te mogą być następnie wykorzystane do uzyskania dostępu do rzeczywistego konta bankowego użytkownika i wykonania oszukańczych działań.
Niektórzy dostawcy usług internetowych (ISP) również zaczęli wykorzystywać przejmowanie DNS do mniej złośliwych celów. Ci dostawcy usług internetowych używają „przekierowywania DNS”, aby wysyłać użytkowników do określonej strony po wprowadzeniu nieprawidłowego adresu internetowego. Zamiast wyświetlać standardowy ekran dla nieprawidłowych witryn, dostawca usług internetowych wyświetla stronę, która często zawiera reklamy innych usług. Chociaż niekoniecznie jest to złośliwe, wielu użytkowników oceniło tę praktykę jako z natury nieuczciwą i naruszającą ustalone standardy internetowe przeciwko przejmowaniu DNS.