Sekelompok penjahat cyber telah lama mengeksploitasi kerentanan dalam sejumlah model router Dlink. Lubang yang ditemukan memungkinkan Anda untuk mengubah pengaturan server DNS router dari jarak jauh untuk mengarahkan pengguna perangkat ke sumber daya yang dibuat oleh penyerang itu sendiri. Apa yang selanjutnya tergantung pada pilihan para penjahat dunia maya itu sendiri - mereka dapat mencuri akun korban atau menawarkan layanan yang terlihat seperti layanan yang sepenuhnya βputihβ dari bank.
Kerentanan ini relevan untuk model seperti DLink DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B dan DSL-526B. Mereka jarang diperbarui oleh siapa pun, sehingga penyerang dapat menggunakan kerentanan firmware usang tanpa masalah. Detailnya bisa dibaca secara detail di
sini dan di
sini .
Yang pertama
tahu tentang masalah ini adalah perwakilan dari Radware, sebuah perusahaan keamanan siber. Ternyata, semua ini dikandung oleh penjahat cyber untuk mendapatkan akses ke rekening pelanggan dari dua bank terbesar Brasil - Banco de Brasil dan Unibanco. Alih-alih server jaringan perbankan, pengguna dibawa ke server yang dikendalikan oleh peretas.
Pada saat yang sama, pengguna tidak dapat memahami apa yang sedang terjadi - mereka tidak mencoba untuk ditipu oleh tautan phising dan berbagai pop-up. Hanya saja, alih-alih situs web bank, pengguna masuk ke situs web palsu, yang tidak menimbulkan kekhawatiran apa pun. Secara alami, transisi ke sumber daya malware dilakukan bahkan jika pengguna mengklik tautan di "Favorit" browser-nya atau pada pintasan URL yang terletak di desktop.
Demikian pula, transisi terjadi jika, alih-alih PC, pengguna bekerja dengan tablet, ponsel atau perangkat lain yang menjalankan OS apa pun. Kondisi utama untuk melakukan transisi malware adalah menghubungkan ke router yang dikompromikan.
Situs bank Brasil dipilih karena akses ke sana dapat diperoleh melalui HTTP, tanpa perlindungan. Jadi pengunjung tidak menerima pesan apa pun bahwa situs tempat mereka diarahkan itu berbahaya. Jika pengguna menginstal HTTPS secara default, maka dalam hal ini calon korban menerima pesan tentang masalah dengan sertifikat. Tetapi pada saat yang sama ada opsi untuk "setuju", dan jika pengguna memilihnya, yang dilakukan oleh sebagian besar pengguna, maka pengalihan berfungsi tanpa masalah. Selain itu, situs jahat "berpura-pura" benar-benar normal. Jika pengguna masuk ke situs bank yang sebenarnya, maka datanya dialihkan ke server penyerang. Situs ini dikendalikan dari IP yang sama dengan server DNS penyerang.
Situs web satu-ke-satu yang melakukan transisi mirip dengan sumber daya nyata bank, sehingga pengguna yang tidak terlalu mahir secara teknis dapat dengan mudah tertipu. Sejauh yang Anda mengerti, situs penyerang belum diatur, kesamaannya masih murni eksternal, tanpa fungsi situs perbankan (untuk memalsukan ini tidak terlalu sulit).
Setelah perusahaan yang mendeteksi serangan melaporkan masalahnya, sumber daya DNS jahat dan situs palsu ditutup oleh perusahaan hosting yang memiliki server. Benar, ini menyebabkan ketidaknyamanan tertentu kepada pemilik router "modern". Faktanya adalah bahwa karena server DNS diubah menjadi malware di pengaturan perangkat keras, itu tidak lagi dapat memberikan akses ke jaringan tanpa pengaturan sekunder. Ini mudah dilakukan, tetapi jika pengguna tidak memiliki pengalaman dan memahami apa yang terjadi, masalahnya bisa menjadi serius.
Saat ini, ini adalah salah satu serangan terbesar menggunakan router. Serangan serupa dilaporkan pada bulan Mei. Kemudian sekitar setengah juta perangkat jaringan dari berbagai produsen terinfeksi. Setelah perwakilan FBI mengetahui tentang masalah tersebut, mereka memperingatkan layanan VPNFilter, yang dengannya perangkat lunak jahat bekerja, dan masalahnya juga terpecahkan.
Dan sebelumnya, masalah semacam ini telah terjadi. Jadi pada tahun 2016, malware, yang dikenal sebagai
DNSChanger , menyebabkan tim jahat mengeksekusi perintah jahat. Kemudian server DNS jahat juga digunakan. Dan seperti sekarang, transisi ke sumber daya berbahaya milik para penyerang dilakukan.
Perlindungan terbaik terhadap serangan semacam ini adalah, pertama, memperbarui firmware peralatan, dan kedua, menggunakan kata sandi yang kuat. Selain itu, Anda dapat mengubah DNS menjadi terverifikasi - misalnya, 1.1.1.1 dari Cloudflare atau 8.8.8.8 dari Google.