友訊D-Link路由器的漏洞遭駭客開採,導向假的巴西銀行網站,意圖騙取用戶的銀行帳密

D-Link路由器漏洞將用戶導向巴西網釣網站

安全公司Radware發現,多款友訊(D-Link)路由器的漏洞遭駭客開採,將用戶導向假的巴西銀行網站,意圖騙取用戶的銀行帳密。

Radware研究發現,駭客是開採D-Link產品上一個2015年即已存在的漏洞,變更巴西地區D-Link路由器的DNS伺服器設定,將用戶流量導向駭客設立的惡意DNS伺服器。這台惡意伺服器綁架了連向巴西Banco de Brasil及Itau Unibanco二家銀行的呼叫流量,將之導向代管於該惡意伺服器上的假網頁。駭客可藉此發動中間人(man-in-the-middle)攻擊,竊取用戶的銀行帳戶密碼及手機等個資。但對其他的DNS查詢,該伺服器就和一般ISP DNS伺服器一樣提供轉送和解析的服務。

研究人員相信駭客是使用了漏洞掃瞄工具RouterHunterBr 2.0尋找有漏洞的路由器,並進行未授權的遠端DNS伺服器設定。雖然這次安全人員從6月中才開始偵測到駭客感染舊式D-Link DSL系列的路由器,但事實上,這個攻擊工具從2015年2 月即已公告影響了多款DSL路由器,包括浩鑫產品ADSL Modem-Router 915 WM,以及5款D-Link產品DSL-2740R、DSL-2640B、DSL-2780B、DSL-2730B及 DSL-526B。

研究人員指出,這次的攻擊很特殊的是完全不需要使用者介入。和過去的URL綁架或惡意廣告不同的是,他們不需在瀏覽器中開啟任何假冒的URL,他們可使用任何瀏覽器和捷徑、也可以手動輸入、或透過手機或平板中來點選網頁。不過他們全部都會在神不知鬼不覺中被導向惡意網頁,因為攻擊是發生在閘道層。

唯一的跡象是瀏覽器顯示出「無效憑證」及標註為「不安全」的訊息。一般瀏覽器會封鎖不讓用戶存取,但如果用戶已將之加入書籤或手動輸入錯誤的網址(如輸入成http://,而非https://),瀏覽器就不會再出現此類警告。

安全公司已經通知上述二家銀行,以及和代管該DNS伺服器及假網站的ISP,後者已經將之下線。

如果要檢查家中的路由器是否安全,可以檢查IP組態中的主要和次要DNS伺服器設定。研究人員表示,如果是以路由器開頭並使用DHCP,則家中裝置很可能被導向惡意DNS伺服器。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏