Hlavní navigace

Nový útok už i v ČR: router přesměruje na nakažený Google či Seznam

 Autor: Isifa
David Slížek 12. 5. 2014

Český bezpečnostní tým CSIRT.CZ varuje před útokem, který využívá zranitelnost některých domácích routerů. První případ se objevil už i u jednoho českého uživatele.

Podstata útoku je vlastně velmi jednoduchá a není vůbec nová, jde o tzv. DNS hijacking: útočníci prostě přenastaví adresu primárního DNS serveru v routeru na jinou. To jim umožňuje přesměrovávat uživatele na předem připravené webové stránky, které mohou obsahovat viry a další nebezpečí.

O podobných útocích v sousedním Polsku psal CSIRT.CZ už v únoru a teď zaznamenal první hlášení o podobném útoku i v České republice. Jde zatím sice o jediný nahlášený případ, ale je otázkou, kolik domácích uživatelů si přenastaveného DNS nemusí vůbec všimnout.

Na napadeném routeru byla nastavena jako primární DNS IP adresa 192.99.14.108. Postižený uživatel byl pak přesměrován například na upravené stránky Seznam.cz a Google.cz, které obsahovaly virus.

Ojedinělý incident?

Napadeným routerem je podle CSIRT.CZ model TP-LINK TD-W8901G, ve světě ale byly postiženy i jiné značky – v březnu například server Ars Technica psal o podobných případech u routerů D-Link, Micronet, Tenda a dalších.

Případ v ČR je alarmující také proto, že na routeru uživatele bylo nastavené netriviální heslo a není tak zatím zřejmé, jakým způsobem byl útok proveden, informuje bezpečnostní tým s tím, že má dotyčný router přislíben k bližšímu prozkoumání.

Není tak zatím jasné, jestli se skutečně jedná o nějaký masivnější a sofistikovaný útok, nebo zda jde o ojedinělý incident.

Nejlepší prevence

Jako prevenci před podobnými útoky doporučuje CSIRT.CZ věnovat pozornost URL v prohlížeči, zejména indikátoru probíhajícího HTTPS spojení, zakázat na routeru možnost vzdálené konfigurace a změnit si výchozí login a heslo, pravidelně updatovat firmware routeru, případně nastavit DNS přímo na koncových zařízeních.

Útok prostřednictvím routeru je totiž nebezpečný zejména v tom, že postihuje všechna zařízení, která jsou přes napadené zařízení připojena k Internetu – bez ohledu na platformu, kterou využívají.

CIF16

Útočníci mohou po nastavení svého DNS v routeru imitovat například přihlášení k internetovému bankovnictví a získat uživatelovy přihlašovací údaje, popsal CSIRT.CZ možné dopady útoku už při únorovém varování před podobnými útoky v Polsku:

Bohužel ani SSL uživatele v tomto případě zcela neochrání. Mnoho uživatelů má ve zvyku přistupovat ke stránkám bankovnictví pomocí odkazu na hlavní stránce jejich banky. Odkaz na přístup do samotného on-line bankovnictví sice bývá přes https, nicméně útočníci jej v přenášené hlavní stránce detekují, odstraní SSL a změní doménu tak, že začíná „ssl-.“, to kvůli většímu zmatení uživatelů. Samotné SSL mezi bankou a obětí je pak zakončeno na serveru útočníků a dále již komunikace probíhá nešifrovaně. Uživatelé, kteří mají uložený v oblíbených položkách přímý odkaz na https verzi on-line bankovnictví, mají větší šanci, že podvod odhalí, neboť jsou jim útočníky podsunuty falešné certifikáty.

Zdroj: Blog CSIRT.CZ

Našli jste v článku chybu?
Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují