长期以来,一群网络罪犯利用了许多Dlink路由器模型中的漏洞。 发现的漏洞使您可以远程更改路由器的DNS服务器的设置,以便将设备用户重定向到攻击者自己创建的资源。 进一步取决于网络犯罪分子本身的选择-他们可以窃取受害者的帐户或提供看起来像银行完全“白色”的服务。
该漏洞与DLink DSL-2740R,DSL-2640B,DSL-2780B,DSL-2730B和DSL-526B等模型有关。 它们很少被任何人更新,因此攻击者可以毫无问题地使用过时的固件漏洞。 细节可以在
这里和
这里详细阅读。
首先
知道此问题的是网络安全公司Radware的代表。 事实证明,所有这些都是由网络犯罪分子构想的,目的是为了访问巴西两家最大的银行-巴西银行和Unibanco的客户帐户。 用户被带到由黑客控制的服务器上,而不是银行网络服务器。
同时,用户无法理解正在发生的事情-并未试图通过网络钓鱼链接和各种弹出窗口来欺骗他们。 只是用户进入了一个假网站,而不是银行的网站,这几乎没有引起任何关注。 自然,即使用户单击了浏览器“收藏夹”中的链接或位于桌面上的URL快捷方式,也执行了向恶意软件资源的转换。
同样,如果用户使用平板电脑,电话或运行任何OS的任何其他设备来代替PC,则发生了过渡。 执行恶意软件转换的主要条件是连接到受损的路由器。
选择巴西银行的站点是因为可以通过HTTP对其进行访问,而无需进行保护。 因此,访问者不会收到任何有关重定向到该网站的恶意消息。 如果用户默认情况下安装了HTTPS,则在这种情况下,潜在的受害者会收到有关证书问题的消息。 但是同时有一个“同意”的选项,如果用户选择了它(大多数用户都这样做了),那么重定向就可以正常工作。 此外,恶意站点“假装”为完全正常。 如果用户登录到银行的真实站点,则其数据将重定向到攻击者服务器。 该站点由与攻击者的DNS服务器相同的IP控制。
进行过渡的一对一网站类似于银行的实际资源,因此技术水平不太高的用户很容易被欺骗。 据您了解,攻击者的站点尚未设置,相似之处仍然纯粹是外部的,没有银行站点的功能(要伪造这也不太困难)。
在检测到攻击的公司报告了问题之后,恶意的DNS资源和虚假站点被拥有服务器的托管公司关闭了。 没错,这给“现代化”路由器的所有者带来一定的不便。 事实是,由于DNS服务器在硬件设置中已更改为恶意软件,因此在没有辅助设置的情况下它不再能够提供对网络的访问。 这很容易做到,但是如果用户没有经验并了解正在发生的事情,则问题可能会变得很严重。
目前,这是使用路由器的最大攻击之一。 五月份据报道发生了类似的袭击。 然后,来自不同制造商的大约50万台网络设备被感染。 FBI代表得知此问题后,就对VPNFilter服务发出了警告,该恶意软件可以使用该服务,此问题也得到了解决。
而且以前,这种问题已经发生。 因此,在2016年,称为
DNSChanger的恶意软件导致恶意团队执行恶意命令。 然后,还使用了恶意DNS服务器。 就像现在一样,已经进行了向属于攻击者的恶意资源的过渡。
抵御此类攻击的最佳方法是,首先,更新设备的固件,其次,使用强密码。 此外,您可以将DNS更改为已验证-例如,Cloudflare的1.1.1.1或Google的8.8.8.8。