Phishing bez granic, czyli dlaczego należy aktualizować swój router

akie zagrożenie występuje aktualnie najczęściej w cyberprzestrzeni? To nadal phishing. Jednak dziś wykorzystuje on routery, dzięki czemu użytkownicy internetu nie muszą uwierzyć w specjalnie przygotowaną wiadomość e-mail — bo jej nawet nie dostają. Możesz przestrzegać wszystkich standardowych zasad bezpieczeństwa — nie korzystać z publicznych sieci Wi-Fi oraz sprawdzać łącza przed kliknięciem ich. Niestety w sytuacji, którą specjaliści Kaspersky omawiają w dzisiejszym poście, zasady te nie uchronią Cię przed atakiem. Przyjrzyjmy się, jak działa schemat phishingowy, w którym wykorzystywane są routery.

Porywanie routerów

Ogólnie kontrolę nad routerem można przejąć na dwa sposoby. Pierwszy z nich polega na wykorzystaniu domyślnych danych logowania. Każdy router ma hasło administratora — nie to, które jest używane do łączenia się z siecią Wi-Fi, ale to, które pozwala zalogować się do panelu administracyjnego routera i zmienić jego ustawienia.

Mimo że użytkownicy mogą samodzielnie zmieniać te hasła, większość osób tego nie robi. A gdy na naszym sprzęcie pozostaje hasło ustawione przez producenta, mogą je zgadnąć osoby postronne — czasami wystarczy użyć wyszukiwarki Google.

Drugi sposób obejmuje wykorzystanie luki w oprogramowaniu układowym routera (których zresztą nie brakuje), dzięki czemu haker może przejąć kontrolę nad urządzeniem bez konieczności zdobywania hasła.

W obu przypadkach cyberprzestępcy mogą działać zdalnie, w sposób zautomatyzowany i na masową skalę. Porwanie routerów daje im wiele możliwości, ale my skupimy się na phishingu, który niezmiernie trudno dostrzec.

W jaki sposób zhakowane routery mogą zostać wykorzystane do phishingu

Po przejęciu kontroli nad routerem atakujący modyfikują jego ustawienia. Dokonują niewielkiej zmiany, którą trudno dostrzec: przestawiają adres serwerów DNS, których router używa do odczytu nazw domen. Z czym to się wiąże i dlaczego jest niebezpieczne?

System DNS (Domain Name System) to filar internetu. Gdy w pasku adresu wprowadzamy nazwę strony internetowej, przeglądarka nie wie, jak ją odnaleźć — zarówno przeglądarki, jak i serwery internetowe używają numerycznych adresów IP, a nie nazw domen, tak jak ludzie. Zatem odnajdywanie strony internetowej wygląda następująco:

  1. Przeglądarka wysyła zapytanie do serwera DNS .
  2. Serwer DNS przekłada adres strony internetowej z postaci czytelnej dla człowieka na numeryczny adres IP i przekazuje go przeglądarce.
  3. Przeglądarka wie już, gdzie znaleźć daną stronę internetową, więc może nam ją wyświetlić.

Dzieje się to bardzo szybko, w tle. Jednak gdy ktoś porwie router, a Twój adres serwera DNS zostanie zmieniony, wszystkie zapytania lądują na szkodliwym serwerze DNS, który jest kontrolowany przez oszustów. Zamiast adresu IP strony, którą masz zamiar odwiedzić, szkodliwy serwer zwraca sfałszowany adres IP. Innymi słowy, atakujący oszukują przeglądarkę, która wyświetla stronę phishingową zamiast oryginalnej. Najgorsze w tej sytuacji jest to, że zarówno Ty, jak i przeglądarka uważacie stronę za oryginalną!

Brazylijska robota: kampania phishingowa z porwanymi routerami w tle

najnowszej fali tego ataku hakerzy wykorzystywali luki w bezpieczeństwie w routerach D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech i TOTOLINK. Atakujący łamali zabezpieczenia tych urządzeń i modyfikowali ich ustawienia DNS. Za każdym razem, gdy właściciele przechwyconych routerów próbowali wejść na swoje internetowe konto w banku lub stronę dostawcy usługi, kontrolowany przez hakerów szkodliwy serwer DNS potajemnie kierował ich na strony phishingowe przygotowane w celu kradzieży ich danych logowania.

Pierwotnie w trakcie tej kampanii atakowali byli użytkownicy z Brazylii. Oszuści przygotowali fałszywe strony tamtejszych instytucji finansowych, banków, hostingu internetowego i dostawców mocy obliczeniowej w chmurze.

Oszuści atakowali również użytkowników wybranych największych serwisów internetowych, w tym PayPal, Netflix, Uber i Gmail.

Jak zapewnić sobie bezpieczeństwo przed phishingiem wykorzystującym routery

Jak wspomnieliśmy, tego rodzaju phishing niezmiernie trudno jest zauważyć. Jednak sytuacja nie jest całkowicie beznadziejna. Możesz między innymi wykonać następujące kroki:

  1. Zaloguj się do interfejsu sieciowego routera, zmień hasło domyślne oraz wyłącz zarządzanie zdalne i inne niebezpieczne ustawienia.
  2. Pamiętaj o aktualizowaniu oprogramowania układowego routera, gdyż zwykle eliminuje to luki. W niektórych modelach dzieje się to automatycznie, w innych przypadkach należy zainstalować je ręcznie. Sprawdź model producenta routera i poszukaj w internecie, w jaki sposób aktualizuje się Twoje urządzenie.
  3. Nawet gdy odwiedzasz dobrze znaną Ci stronę internetową, zwracaj uwagę na nietypowe oznaki i pojawiające się okna. Warto kliknąć dla sprawdzenia różne sekcje strony — nawet jeśli wygląd strony phishingowej nie wzbudza podejrzeń, nie da się idealnie odtworzyć całego serwisu.
  4. Zanim wprowadzisz swoje dane logowania (lub jakiekolwiek inne wrażliwe dane), upewnij się, że połączenie jest chronione (adres zaczyna się od „https”). Zawsze zwracaj uwagę na to, czy nazwa certyfikatu koresponduje z nawą podmiotu. W tym celu kliknij znak kłódki w pasku adresu przeglądarki:
  • W przeglądarce Internet Explorer / Edge zobaczysz informacje o certyfikacie od razu, ewentualnie kliknij łącze Wyświetl certyfikat.
  • W przeglądarce Mozilla należy kliknąć łącze Połączenie.
  • W przeglądarce Chrome kliknij znak kłódki, następnie sekcję Certyfikat, przejdź do zakładki Ogólne i sprawdź wiersz Wystawiony dla.

Autor artykułu: Marina Mash z Kaspersky Lab

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s