لطالما استغلت مجموعة من المجرمين الإلكترونيين الثغرة الأمنية في عدد من نماذج أجهزة توجيه Dlink. يسمح لك الثقب الموجود بتغيير إعدادات خادم DNS لجهاز التوجيه عن بُعد من أجل إعادة توجيه مستخدم الجهاز إلى المورد الذي تم إنشاؤه من قبل المهاجمين أنفسهم. وما هو أكثر من ذلك يعتمد على اختيار المجرمين الإلكترونيين أنفسهم - يمكنهم سرقة حسابات الضحايا أو تقديم خدمات تبدو وكأنها خدمة "بيضاء" بالكامل من البنك.
تتعلق الثغرة بموديلات مثل DLink DSL-2740R و DSL-2640B و DSL-2780B و DSL-2730B و DSL-526B. نادرًا ما يتم تحديثها من قبل أي شخص ، لذلك يمكن للمهاجمين استخدام نقاط الضعف في البرامج الثابتة القديمة دون مشاكل. يمكن قراءة التفاصيل بالتفصيل
هنا وهنا .
كان أول من علم بالمشكلة ممثلين عن Radware ، وهي شركة للأمن السيبراني. كما اتضح ، تم تصور كل هذا من قبل المجرمين الإلكترونيين من أجل الوصول إلى حسابات العملاء لاثنين من أكبر البنوك البرازيلية - Banco de Brasil و Unibanco. بدلاً من خوادم الشبكة المصرفية ، تم نقل المستخدمين إلى الخوادم التي يسيطر عليها المتسللون.
في الوقت نفسه ، لم يتمكن المستخدمون من فهم ما يحدث - لم تتم محاولة خداعهم بواسطة روابط التصيد ومختلف النوافذ المنبثقة. إنه فقط أنه بدلاً من موقع البنك الإلكتروني ، وصل المستخدم إلى موقع ويب مزيف ، والذي لم يسبب أي قلق تقريبًا. وبطبيعة الحال ، تم تنفيذ الانتقال إلى مورد البرامج الضارة حتى إذا نقر المستخدم على الرابط في "المفضلة" في متصفحه أو على اختصار URL الموجود على سطح المكتب.
وبالمثل ، حدث النقل إذا ، بدلاً من جهاز الكمبيوتر ، عمل المستخدم مع جهاز لوحي أو هاتف أو أي جهاز آخر يعمل بأي نظام تشغيل. الشرط الرئيسي لإجراء انتقال البرامج الضارة هو الاتصال بجهاز توجيه مخترق.
تم اختيار مواقع البنوك البرازيلية لأنه يمكن الحصول عليها عبر HTTP ، بدون حماية. لذلك لا يتلقى الزوار أي رسائل تفيد بأن الموقع الذي تتم إعادة توجيههم إليه ضار. إذا كان المستخدم لديه HTTPS مثبتًا بشكل افتراضي ، ففي هذه الحالة يتلقى الضحية المحتملة رسالة حول مشكلة الشهادة. ولكن في الوقت نفسه ، هناك خيار "الموافقة" ، وإذا اختار المستخدم ذلك ، وهو ما يقوم به معظم المستخدمين ، فإن إعادة التوجيه تعمل دون أي مشاكل. بالإضافة إلى ذلك ، "يتظاهر" الموقع الضار بأنه طبيعي تمامًا. إذا قام المستخدم بتسجيل الدخول إلى الموقع الحقيقي للبنك ، فسيتم إعادة توجيه بياناته إلى خادم المهاجمين. يتم التحكم في الموقع من نفس عنوان IP الخاص بخادم DNS للمهاجم.
يشبه موقع الويب الفردي الذي يتم إجراء الانتقال إليه المورد الحقيقي للبنك ، لذا يمكن خداع المستخدمين غير المتقدمين تقنيًا جدًا. بقدر ما يمكنك أن تفهم ، لم يتم إنشاء موقع المهاجمين بعد ، ولا تزال أوجه التشابه خارجية بحتة ، بدون وظائف الموقع المصرفي (لتزييف هذا أيضًا ليس صعبًا جدًا).
بعد أن أبلغت الشركة التي كشفت عن الهجوم عن المشكلة ، تم إغلاق مورد DNS الخبيث والمواقع المزيفة من قبل الشركة المضيفة التي تمتلك الخادم. صحيح أن هذا يسبب بعض الإزعاج لأصحاب الموجهات "الحديثة". والحقيقة هي أنه نظرًا لتغيير خادم DNS إلى البرامج الضارة في إعدادات الأجهزة ، فإنه لم يعد قادرًا على منح الوصول إلى الشبكة بدون إعدادات ثانوية. من السهل القيام بذلك ، ولكن إذا لم يكن لدى المستخدم خبرة وفهم ما يحدث ، فقد تصبح المشكلة خطيرة.
في الوقت الحالي ، تعد هذه واحدة من أكبر الهجمات باستخدام أجهزة التوجيه. تم الإبلاغ عن هجوم مماثل في مايو. ثم أصيب حوالي نصف مليون جهاز شبكة من مختلف الشركات المصنعة. بعد أن علم ممثلو مكتب التحقيقات الفيدرالي بالمشكلة ، حذروا خدمة VPNFilter ، التي تعمل بها البرامج الضارة ، وتم حل المشكلة أيضًا.
وقبل ذلك ، حدثت مشاكل من هذا النوع. لذا في عام 2016 ، تسببت البرامج الضارة ، المعروفة باسم
DNSChanger ، في قيام الفرق الخبيثة بتنفيذ أوامر ضارة. ثم تم استخدام خادم DNS ضار أيضًا. وكما هو الحال الآن ، تم الانتقال إلى الموارد الخبيثة التي يمتلكها المهاجمون.
أفضل حماية ضد الهجمات من هذا النوع هي ، أولاً ، تحديث البرامج الثابتة للمعدات ، وثانيًا ، استخدام كلمة مرور قوية. بالإضافة إلى ذلك ، يمكنك تغيير DNS إلى التحقق - على سبيل المثال ، 1.1.1.1 من Cloudflare أو 8.8.8.8 من Google.