Eine Gruppe von Cyberkriminellen hat die Sicherheitsanfälligkeit in einer Reihe von Dlink-Routermodellen seit langem ausgenutzt. Mit der gefundenen Lücke können Sie die Einstellungen des DNS-Servers des Routers aus der Ferne ändern, um den Gerätebenutzer zu der Ressource umzuleiten, die von den Angreifern selbst erstellt wurde. Was weiter von der Wahl der Cyberkriminellen selbst abhängt - sie können die Konten der Opfer stehlen oder Dienste anbieten, die wie ein vollständig „weißer“ Dienst der Bank aussehen.
Die Sicherheitsanfälligkeit ist für Modelle wie DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B und DSL-526B relevant. Sie werden selten von irgendjemandem aktualisiert, sodass Angreifer die Schwachstellen veralteter Firmware problemlos nutzen können. Die Details können im Detail gelesen werden
hier und
hier .
Die ersten,
die von dem Problem erfuhren, waren Vertreter von Radware, einem Cybersicherheitsunternehmen. Wie sich herausstellte, wurde all dies von Cyberkriminellen konzipiert, um Zugang zu Kundenkonten von zwei der größten brasilianischen Banken zu erhalten - Banco de Brasil und Unibanco. Anstelle von Banking-Netzwerkservern wurden Benutzer zu Servern gebracht, die von Hackern kontrolliert wurden.
Gleichzeitig konnten Benutzer nicht verstehen, was geschah - sie wurden nicht versucht, sich durch Phishing-Links und verschiedene Popups täuschen zu lassen. Es ist nur so, dass der Benutzer anstelle der Website der Bank eine gefälschte Website aufgerufen hat, die fast keine Bedenken hervorrief. Der Übergang zur Malware-Ressource wurde natürlich auch dann durchgeführt, wenn der Benutzer auf den Link in den „Favoriten“ seines Browsers oder auf die URL-Verknüpfung auf dem Desktop geklickt hat.
In ähnlicher Weise erfolgte der Übergang, wenn der Benutzer anstelle eines PCs mit einem Tablet, Telefon oder einem anderen Gerät arbeitete, auf dem ein Betriebssystem ausgeführt wurde. Die Hauptbedingung für die Durchführung eines Malware-Übergangs ist die Verbindung zu einem gefährdeten Router.
Die Standorte der brasilianischen Banken wurden ausgewählt, da der Zugang zu ihnen ohne Schutz über HTTP möglich ist. Besucher erhalten also keine Nachrichten, dass die Site, auf die sie umgeleitet werden, böswillig ist. Wenn der Benutzer HTTPS standardmäßig installiert hat, erhält das potenzielle Opfer in diesem Fall eine Nachricht über das Problem mit dem Zertifikat. Gleichzeitig besteht jedoch die Möglichkeit, „zuzustimmen“. Wenn der Benutzer diese Option auswählt, was von den meisten Benutzern durchgeführt wird, funktioniert die Umleitung problemlos. Darüber hinaus gibt die bösartige Website vor, völlig normal zu sein. Wenn der Benutzer an der realen Site der Bank angemeldet ist, werden seine Daten an den Server des Angreifers umgeleitet. Die Site wird von derselben IP-Adresse aus gesteuert wie der DNS-Server des Angreifers.
Die Eins-zu-Eins-Website, zu der der Übergang durchgeführt wird, ähnelt der realen Ressource der Bank, sodass Benutzer, die nicht zu technisch fortgeschritten sind, leicht getäuscht werden können. Soweit Sie verstehen, wurde die Site der Angreifer noch nicht eingerichtet, die Ähnlichkeiten sind immer noch rein extern, ohne die Funktionalität der Banking-Site (auch dies zu fälschen ist nicht allzu schwierig).
Nachdem das Unternehmen, das den Angriff erkannt hat, das Problem gemeldet hat, wurden die schädlichen DNS-Ressourcen und gefälschten Websites von dem Hosting-Unternehmen geschlossen, dem der Server gehört. Dies führt zwar zu gewissen Unannehmlichkeiten für die Besitzer "modernisierter" Router. Tatsache ist, dass der DNS-Server, da er in den Hardwareeinstellungen in Malware geändert wurde, ohne sekundäre Einstellungen keinen Zugriff mehr auf das Netzwerk gewähren kann. Dies ist einfach zu bewerkstelligen, aber wenn der Benutzer keine Erfahrung hat und nicht versteht, was passiert, kann das Problem ernst werden.
Im Moment ist dies einer der größten Angriffe mit Routern. Ein ähnlicher Angriff wurde im Mai gemeldet. Dann wurden etwa eine halbe Million Netzwerkgeräte verschiedener Hersteller infiziert. Nachdem die FBI-Vertreter von dem Problem erfahren hatten, warnten sie den VPNFilter-Dienst, mit dem die schädliche Software funktionierte, und das Problem wurde ebenfalls gelöst.
Und schon früher sind solche Probleme aufgetreten. Im Jahr 2016 führte Malware, bekannt als
DNSChanger , dazu, dass die böswilligen Teams böswillige Befehle ausführten. Dann wurde auch ein böswilliger DNS-Server verwendet. Und genau wie jetzt wurde der Übergang zu bösartigen Ressourcen der Angreifer durchgeführt.
Der beste Schutz gegen Angriffe dieser Art besteht zum einen darin, die Firmware des Geräts zu aktualisieren und zum anderen ein sicheres Passwort zu verwenden. Darüber hinaus können Sie das DNS in verifiziert ändern, z. B. 1.1.1.1 von Cloudflare oder 8.8.8.8 von Google.