vinkkejä ja opetusohjelmia

Reitittimien GhostDNS-haittaohjelmat voivat varastaa käyttäjän pankkitietoja

Asiantuntijat ovat huomanneet, että GhostDNS, hienostunut DNS-kaappausjärjestelmä tietojen varkaudelle, vaikuttaa yli 100 000 reitittimeen - 87 prosenttia niistä Brasiliassa. Tietoturvaan erikoistuneen Netlabin mukaan haittaohjelmia on löydetty 70 muusta mallista, mukaan lukien mm. TP-Link, D-Link, Intelbras, Multilaser ja Huawei.

Tietojenkalastelumenetelmän avulla hyökkäyksen lopullinen tavoite on löytää tärkeitä sivustoja, kuten pankkeja ja suuria palveluntarjoajia. Netlab 360 tietueessa, joka löysi huijauksen, Netflixin brasilialaiset URL-osoitteet, Santander ja Citibank olivat GhostDNS: n hyökkäyksiä. Seuraavaksi tutustu haittaohjelmiin ja opi suojautumaan.

LUE: Strike reitittimessä jo saavuttaa tuhansia koteja Brasiliassa; välttää

Haittaohjelmat GhostDNS tarttuu yli 100 000 reitittimeen ja voivat varastaa pankkitiedot

Haluatko ostaa matkapuhelin-, TV- ja muita alennustuotteita? Tunne vertailu

Mikä on hyökkäys?

Netlabin ilmoittama haittaohjelma 360: ssa suorittaa hyökkäyksen, joka tunnetaan nimellä DNSchange. Yleensä tämä huijaus yrittää arvata reitittimen salasanan web-kokoonpanosivulla käyttämällä tunnuksia, jotka valmistajat, kuten admin / admin, root / root jne. Toinen tapa on ohittaa autentikointi skannaamalla dnscfg.cgi. Kun pääset käyttämään reitittimen asetuksia, haittaohjelmat muuttavat oletusarvoisen DNS-osoitteen, joka kääntää toivottujen sivustojen URL-osoitteet, kuten pankit, haittaohjelmien IP-osoitteisiin.

GhostDNS on paljon parempi versio tästä taktiikasta. Siinä on kolme versiota DNSChangeristä, joita kutsutaan itse kuoressa DNSChanger, DNSChanger ja PyPhp DNSChanger. PyPhp DNSChanger on päämoduuli näiden kolmen joukossa, ja se on otettu käyttöön yli 100 palvelimella, lähinnä Google Cloudissa. Yhdessä ne tuovat yhteen yli 100 hyökkäysskriptiä, jotka on tarkoitettu reitittimille Internetissä ja intranet-verkoissa.

Kuten tämä ei riittäisi, GhostDNS: ssä on DNSChangerin lisäksi vielä kolme muuta rakennemoduulia. Ensimmäinen on Rouge DNS -palvelin, joka kaappaa pankkien, pilvipalvelujen ja muiden sivustojen, joilla on mielenkiintoisia tunnistetietoja rikollisille, verkkotunnuksia. Toinen on verkkohuijausjärjestelmä, joka vie IP-osoitteet varastetuilta verkkotunnuksilta ja vuorovaikutuksessa uhrien kanssa väärennettyjen sivustojen kautta. Lopuksi on olemassa web-hallinnointijärjestelmä, jossa asiantuntijoilla on vielä vähän tietoa toiminnasta.

GhostDNS-mainostettu hyökkäyskaavio reitittimiin

Hyökkäyksen riskit

Hyökkäyksen suuri riski on se, että DNS-kaappauksen yhteydessä, vaikka syötät pankin oikean URL-osoitteen selaimeen, se voi ohjata haitallisen sivuston IP-osoitteen. Joten vaikka käyttäjä tunnistaa sivun käyttöliittymän muutokset, häneen uskotaan olevansa turvallisessa ympäristössä. Tämä lisää mahdollisuuksia kirjoittaa salasanoja, sähköpostiviestejä, pilvivarastopalveluja ja muita tietovälineitä, joita tietoverkkorikolliset voivat käyttää.

Mitkä reitittimet ovat vaikuttaneet?

Syyskuun 21.-27. Välisenä aikana Netlab 360: ssa havaittiin hieman yli 100 000 tartunnan saaneiden reitittimien IP-osoitetta. Näistä 87, 8% eli noin 87 800 on Brasiliassa. Osoitteen vaihteluiden vuoksi todellinen luku voi kuitenkin olla hieman erilainen.

GhostDNS-tartunnan reitittimen laskuri

Vaikuttavat reitittimet infektoitiin eri DNSChanger-moduuleilla. DNSChanger Shellissä on tunnistettu seuraavat mallit:

3COM OCR-812
AP-reititin
D-LINK
D-LINK DSL-2640T
D-LINK DSL-2740R
D-LINK DSL-500
D-LINK DSL-500G / DSL-502G
Huawei SmartAX MT880a
Intelbras WRN240-1
Kaiomy-reititin
MikroTiK-reitittimet
OIWTECH OIW-2415CPE
Ralink-reitittimet
Speedstream
SpeedTouch
teltta
TP-LINK TD-W8901G / TD-W8961ND / TD-8816
TP-LINK TD-W8960N
TP-LINK TL-WR740N
TRIZ TZ5500E / VIKING
VIKING / DSLINK 200 U / E

DNSChanger Js: n vaikuttamat reitittimet olivat jo:

A-Link WL54AP3 / WL54AP2
D-Link DIR-905L
GWR-120 reititin
Secutech RiS Firmware
SmartGate
TP-Link TL-WR841N / TL-WR841ND

Lopuksi päämoduulin PyPhp DNSChangerin vaikuttamat laitteet ovat seuraavat:

AirRouter AirOS
Antenni PQWS2401
C3-TECH-reititin
Cisco-reititin
D-Link DIR-600
D-Link DIR-610
D-Link DIR-615
D-Link DIR-905L
D-Link ShareCenter
Elsys CPE-2n
FiberHome
Fiberhome AN5506-02-B
Fiberlink 101
GPON ONU
Greatekin
GWR 120
Huawei
Intelbras WRN 150
Intelbras WRN 240
Intelbras WRN 300
LINKONE
MikroTik
Multilaser
OIWTECH
PFTP-WR300
QBR-1041 WU
PNRT150M-reititin
Langaton N 300Mbps -reititin
WRN150-reititin
WRN342 Reititin
Sapido RB-1830
TECHNIC LAN WAR-54GS
Tenda Wireless-N laajakaistareititin
Thomson
TP-Link Archer C7
TP-Link TL-WR1043ND
TP-Link TL-WR720N
TP-Link TL-WR740N
TP-Link TL-WR749N
TP-Link TL-WR840N
TP-Link TL-WR841N
TP-Link TL-WR845N
TP-Link TL-WR849N
TP-Link TL-WR941ND
Wive-NG-laiteohjelmiston reitittimet
ZXHN H208N
Zyxel VMG3312

Miten suojautua

Ensimmäinen vaihe on muuttaa reitittimen salasanaa, varsinkin jos käytät oletuskoodia tai otat käyttöön heikon salasanan. On myös suositeltavaa päivittää reitittimen laiteohjelmisto ja tarkistaa asetukset, jos DNS on muuttunut.

Wi-Fi-reitittimen salasanan asettaminen

Mitä valmistajat sanovat

Yhtiö otti yhteyttä Intelbrasiin, joka ei ole tietoinen reitittimiin liittyvistä ongelmista: "Ilmoitamme teille, että meillä ei ole toistaiseksi rekisteröitynyttä tapaturmia käyttäjillemme 14 palvelukanavan kautta, jotka vastaavat Intelbrasin reitittimien haavoittuvuutta." Turvallisuuden osalta yritys ohjaa kuluttajia seuraamaan laitteiden tavanomaista päivittämistä: "päivitetyn laiteohjelmiston hallinta ja saatavuus on saatavilla verkkosivuillamme (www.intelbras.com.br/downloads)".

Multilaser väittää myös, että tähän mennessä ei ole raportoitu ongelmia. "Tapahtumaan kytkeytyvien palvelukanavien kautta ei ollut asiakaskontaktia. Multilaser kehottaa kuluttajia ottamaan yhteyttä tukeen saadakseen lisätietoja tuotemerkin laitteiden päivityksistä ja kokoonpanoista."

D-Link raportoi, että haavoittuvuus on jo raportoitu. Lähetetyn ilmoituksen mukaan yritys teki ratkaisun reitittimien käyttäjille. "D-Link toistaa, että on tärkeää päivittää jatkuvasti reitittimien laiteohjelmistoja, mikä lisää laitteiden ja yhteyden turvallisuutta", hän lisää.

TP-Link väittää olevansa tietoinen ongelmasta ja suosittelee, että käyttäjät pitävät laiteohjelmiston ajan tasalla ja muuttavat laitteiden salasanaa. TP-Link on tietoinen sen reitittimien haavoittuvuutta koskevasta tutkimuksesta, joka estää tämän mahdollisen haittaohjelman, TP-Link suosittelee seuraavien vaiheiden noudattamista:

Vaihda oletussalasana monimutkaisempaan salasanaan, jotta tunkeilijat eivät pääse reitittimen asetuksiin.
Varmista, että reititin käyttää uusinta laiteohjelmistoversiota. Jos ei, päivitä estämään vanhempien haavoittuvuuksien hyödyntäminen. "

Huawei ei kommentoinut ennen kuin tämä asia julkaistiin.

Netlabin kautta 360 °

Mikä on paras Wi-Fi-reitittimen kanava? Tutustu foorumiin.

vinkkejä ja opetusohjelmia

Reitittimien GhostDNS-haittaohjelmat voivat varastaa käyttäjän pankkitietoja

Mikä on hyökkäys?

Hyökkäyksen riskit

Mitkä reitittimet ovat vaikuttaneet?

Miten suojautua

Mitä valmistajat sanovat

Suositeltava

Samsung Smart TV ei löydä Wi-Fi-yhteyttä? Katso mahdolliset syyt ja ratkaisut

OLX: ään rekisteröinti

Bixbyn poistaminen käytöstä Galaxy S8: ssa

Video-kuvatekstien mukauttaminen iPhoneen

Fortnite: miten ryöstää salaperäinen luukku

Guiato: miten neuvotella supermarketin esitteestä matkapuhelimella

YouTube debytoi keskustelun jaettujen videoiden kanssa; Opi käyttämään ystäviä

Miten luoda ja muokata omaa sankaria LEGO The Incrediblesissä

Prey voittaa demon PS4: llä ja Xbox One: lla, katso miten ladata

Monster Hunter World: Miten jakaa tehtäviä ystäviesi kanssa

Androidilla on ninja tapa tehdä hakuja kameralla; miten käytät