Эксперты Radware обнаружили, что злоумышленники используют уязвимость некоторых устройств D-Link для изменения настроек DNS и перенаправления бразильских пользователей, которые пытаются посетить сайты банков, на сайты-фальшивки. Эти фейковые ресурсы, разумеется, созданы для хищения учетных, финансовых и личных данных: номер телефона, PIN-код карты, номер CABB и так далее.

Подделки существуют как минимум для ресурсов двух банков: Banco de Brasil (www.bb.com.br) и Unibanco (www.itau.com.br). Вредоносные DNS, задействованные в атаках — это 69.162.89.185 и 198.50.222.136.

По данным исследователей, проблема, позволяющая неавторизованным лицам удаленно изменить настройки DNS, представляет опасность для модемов и роутеров D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B и DSL-526B.

Первые попытки использования эксплоитов против DSL-роутеров D-Link были зафиксированы еще в начале июня 2018 года. Так, между 8 июня и 10 августа текущего года Radware удалось выявить более 500 попыток эксплуатации проблемы. При этом специалисты отмечают, что эксплоиты для многих роутеров (в основном производства D-Link) были опубликованы еще в 2015 году: 1, 2, 3, 4, 5, 6.

Специалисты предупреждают, что в данном случае распознать поддельный сайт гораздо труднее, чем обычно, ведь преступники не изменяют URL, не рассылают фишинговых писем и не прибегают к другим известным уловкам. Фактически, единственное, что выдает атаку – это незащищенное соединение (HTTP) или проблемы с сертификатом, если жертва пытается использовать HTTPS.

В настоящее время представители Radware уже поставили в известность о происходящем представителей банков и облачного хостинга, где размещались DNS-серверы, и фиктивные сайты прекратили работу.

Пользователям потенциально уязвимых устройств настоятельно рекомендуют проверить настройки DNS (сделать это можно не только в настройках роутера, но и при помощи специального сервиса).

1 комментарий

  1. r4gn4r0ck

    04.09.2018 at 22:40

    Интересно, как они обошли HSTS? SSLStrip2 уже устарел и много кто говорит, что новые браузеры защищены от атак с подменой DNS (если дело касается сайтов с протоколом HTTPS). Мб кто знает?

Оставить мнение