黑客利用D-Link於2015年即已存在的漏洞,竄改路由器上DNS服務器設定,將巴西兩家銀行客戶流量導向釣魚網站,意圖騙取用戶的銀行帳密。
安全公司Radware發現,多款友訊(D-Link)路由器的漏洞遭黑客開採,將用戶導向假的巴西銀行網站,意圖騙取用戶的銀行帳密。
Radware研究發現,黑客是使用D-Link產品上一個2015年即已存在的漏洞,變更巴西地區D-Link路由器的DNS服務器設定,將用戶流量導向黑客設立的惡意DNS服務器。這臺惡意服務器綁架了連向巴西Banco de Brasil及Itau Unibanco二家銀行的呼叫流量,將之導向代管於該惡意服務器上的假網頁。黑客可藉此發動中間人(man-in-the-middle)攻擊,竊取用戶的銀行帳戶密碼及手機等個資。但對其他的DNS查詢,該伺服器就和一般ISP DNS服務器一樣提供轉送和解析的服務。
研究人員相信黑客是使用了漏洞掃瞄工具RouterHunterBr 2.0尋找有漏洞的路由器,並進行未授權的遠端DNS服務器設定。雖然這次安全人員從6月中才開始偵測到黑客感染舊式D-Link DSL系列的路由器,但事實上,這個攻擊工具從2015年2 月即已公告影響了多款DSL路由器,包括浩鑫產品ADSL Modem-Router 915 WM,以及5款D-Link產品DSL-2740R、DSL-2640B、DSL-2780B、DSL-2730B及 DSL-526B。
研究人員指出,這次的攻擊很特殊的是完全不需要使用者介入。和過去的URL綁架或惡意廣告不同的是,他們不需在瀏覽器中開啟任何假冒的URL,他們可使用任何瀏覽器和捷徑、也可以手動輸入、或透過手機或平板中來點選網頁。不過他們全部都會在神不知鬼不覺中被導向惡意網頁,因為攻擊是發生在閘道層。
唯一的跡象是瀏覽器顯示出「無效憑證」及標註為「不安全」的訊息。一般瀏覽器會封鎖不讓用戶存取,但如果用戶已將之加入書籤或手動輸入錯誤的網址(如輸入成http://,而非https://),瀏覽器就不會再出現此類警告。
安全公司已經通知上述二家銀行,以及和代管該DNS服務器及假網站的ISP,後者已經將之下線。
如果要檢查家中的路由器是否安全,可以檢查IP組態中的主要和次要DNS服務器設定。研究人員表示,如果是以路由器開頭並使用DHCP,則家中裝置很可能被導向惡意DNS服務器。
PS:只有你想不到,沒有黑客做不到的
閱讀更多 安全焦點 的文章
