Zdroj: Ars Technica
Nezávislý bezpečnostný výskumník Troy Mursch oznámil, že prvá vlna útokov začala ešte v decembri minulého roka. Kampaň zneužíva chybu v týchto routeroch D-Link:
D-Link DSL-2640B
D-Link DSL-2740R
D-Link DSL-2780B
D-Link DSL-526B
Útočníci skenujú internet a hľadajú zraniteľné routre. Keď sa im podarí také nájsť, zamenia nastavenia DNS servera z pôvodného na svoj škodlivý. DNS server slúži na to, že keď používateľ zadá do prehliadača napr. www.incident.sk, tak prehliadač sa spýta nastaveného DNS servera aká IP adresa zodpovedá tomuto webu. Po zistení IP adresy sa prehliadač pripojí na túto adresu a zobrazí web stránku. Tento systém bol vymyslený preto, aby sme si my ľudia nemuseli pre každú stránku pamätať jej IP adresu. To by bolo náročné a neprehľadné pri množstve stránok na internete.
Keďže útočníci majú pod kontrolou DNS server, môžu poslať váš prehliadač kamkoľvek. Napríklad na falošnú stránku banky alebo platobnej služby. Vy zadáte do prehliadača doménu svojej banky a škodlivý DNS server vás presmeruje na falošnú stránku. Zadáte svoje prístupové údaje na falošnú stránku a útočníci zneužijú tieto údaje, aby vás okradli. V tomto prípade boli smerované na falošné stránky tieto domény: GMail.com, PayPal.com, Netflix.com, Uber.com, caix.gov.br, itau.com.br, bb.com.br, bancobrasil.com.br, sandander.com.br, pagseguro.uol.com.br, sandandernet.com.br, cetelem.com.br.
Takéto útoky sa stávali aj v minulosti u iných typov routerov. Skontrolujte si teda či máte doma najnovšiu verziu firmvéru na svojom routeri, alebo poproste niekoho technicky zdatného aby vám pomohol. Ak chodíte na stránky bánk, platobných portálov a iných služieb, skontrolujte si či má stránka správny a platný certifikát (indikovaný ikonou zeleného zámku pred názvom stránky). Ak je to možné pre danú službu, aktivujte si dvojfaktorovú autentifikáciu.
Obrázok: D-Link
