在野外路由器利用发送不知情的用户到假银行网站

2020-04-03 12:30:47    来源:新经网    作者:张艾俊

一名安全研究人员上周五表示,黑客一直在利用DLink调制解调器路由器中的一个漏洞,将用户发送到一个假冒的银行网站,试图窃取他们的登录凭证。

此漏洞针对过去两年未打补丁的DLink DSL-2740R、sl - 2640b、sl - 2780b、sl - 2730b和sl - 526b型号。正如“这里、这里、这里、这里”披露的那样,该漏洞允许攻击者远程更改连接计算机用来将域名转换为IP地址的DNS服务器。

根据安全公司Radware上周五上午发布的一份报告,黑客一直在利用这一漏洞,将试图访问巴西两家银行网站(banco de Brasil的www.bb.com.br和Unibanco的www.itau.com.br)的人发送至恶意服务器,而不是这些金融机构运营的网站。在这份报告中,Radware研究员帕斯卡·吉南斯写道:

攻击是隐蔽的,因为用户完全没有意识到这种变化。劫持并不需要在用户的浏览器中修改或更改url。用户可以使用任何浏览器和常用的快捷方式,可以手动输入URL,甚至可以在iPhone、iPad、Android手机或平板电脑等移动设备上使用。他或她仍然会被发送到恶意网站,而不是他们要求的网站,所以劫持有效地工作在网关级别。

Geenens告诉Ars, Banco de Brasil的网站可以通过未加密和未经认证的HTTP连接访问,这阻止了访问者收到任何被重定向网站的恶意警告。使用更安全的HTTPS协议连接的用户从浏览器收到一个警告,称数字证书是自签名的,但他们可能被骗点击了一个选项来接受它。除了自签名证书之外,该网站是对真实网站的一个令人信服的恶搞。如果用户登录,他们的网站凭证就会被发送到发起攻击的黑客那里。欺骗站点来自承载恶意DNS服务器的同一个IP地址。

试图访问Unibanco的用户被重定向到一个与恶意DNS服务器和假冒Banco de Brasil网站的IP地址相同的页面。然而,那个页面实际上并没有欺骗这家银行的网站,这表明它可能是一个尚未建立的临时登录页面。在Geenens向服务器主机OVH报告了恶意DNS服务器和欺骗站点之后,该恶意操作于加州时间周五凌晨被关闭。由于恶意DNS服务器无法工作,连接到受感染DLink设备的用户可能无法使用互联网,除非他们更改路由器上的DNS服务器设置或重新配置连接设备以使用备用DNS服务器。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。