Czy twój router jest wykorzystany do przekierowania na złośliwą stronę internetową?

Nie zawsze cyberprzestępcom zależy na przejęciu kontroli nad Twoim urządzeniem.

Z ich punktu widzenia równie korzystne może być czasem kontrolowanie połączenia urządzenia z Internetem, umożliwiające przekierowanie połączenia do złośliwych stron internetowych. Dzięki temu mogą oni nie tylko monitorować generowany przez Ciebie ruch w sieci, ale także zmieniać adresy i sposób wyświetlania stron internetowych np. w celu pozyskania haseł do serwisów bankowych.

U podstaw Internetu leży system DNS (Domain Name System), którego zadaniem jest tłumaczenie – dla człowieka łatwych do zapamiętania – nazw domen na adresy IP, zrozumiałe dla komputerów. DNS jest jak książka telefoniczna, której przeglądarka lub komputer używa do lokalizacji stron internetowych.

Ponieważ komputery muszą wiedzieć, skąd uzyskać potrzebną im informację, są skonfigurowane tak, aby kontaktować się z serwerem DNS, który wysyła kwerendy dalej w górę (DNS ma strukturę hierarchiczną), dopóki nie otrzyma odpowiedzi. Jeśli haker zmieni ustawienia DNS Twojego systemu komputerowego tak, aby wskazywał na złośliwy serwer, będzie kontrolował połączenie, podobnie jak robi to usługodawca internetowy (ISP – ang. Internet Service Provider).

Ataki tego rodzaju nie są trudne do przeprowadzenia. W tym miesiącu cyberprzestępcy w Brazylii zaatakowali domowe routery, właśnie żeby zmienić ustawienia DNS. Celem było przekierowanie połączeń do stron internetowych wybranych banków na sklonowane wersje witryn, z zamiarem pozyskania poufnych informacji, takich jak parametry logowania.

Podstępność ataku polega na tym, że użytkownik jest całkowicie nieświadomy zmiany. Kradzież danych przebiega bez zmieniania czy podrabiania adresów URL w przeglądarce użytkownika. Może on korzystać z dowolnej przeglądarki, używać swoich sprawdzonych skrótów, może ręcznie wpisać adres URL lub nawet posłużyć się nim w urządzeniu mobilnym, takim jak smartfon lub tablet. Użytkownik nadal, zamiast z wymaganą stroną internetową, będzie kontaktował się ze złośliwą witryną. Dzieje się tak dlatego, że atak skutecznie działa na poziomie bramy sieciowej (ang. gateway) – mówią analitycy z Radware.

Kiedy ofiary próbują zalogować się do swoich kont bankowych, trafiają na fałszywe strony internetowe, proszące o informacje, które cyberprzestępcy mogą wykorzystać do wyczyszczenia konta.

„Należy mieć świadomość, że ochrona antywirusowa samego komputera nie gwarantuje pełnego bezpieczeństwa. Cyberprzestępcy mogą wykorzystać podatność innych urządzeń do przeprowadzenia ataku, np. routera czy urządzenia IoT. Niezwykle ważna dla bezpieczeństwa jest bieżąca aktualizacja oprogramowania routera i pozostałych urządzeń podpiętych do sieci.” – Komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.

Stosowane przez hakerów narzędzia wykorzystujące błędy w oprogramowaniu routerów są powszechnie dostępne od 2015 roku. Biorąc pod uwagę, że użytkownicy często ignorują aktualizację oprogramowania routera i urządzań IoT (internet rzeczy), ilość podatnych na atak urządzeń jest bardzo wysoka.