Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Pharming, czyli co się stanie, kiedy ktoś zmieni DNS-y w Twoim routerze

15-03-2014, 09:51

W lutym br. pojawiła się informacja o luce bezpieczeństwa w ponad milionie routerów, obecnych w polskich domach i firmach. Błąd ten umożliwia przejęcie kontroli nad routerami Wi-Fi takich marek jak TP-Link, D-Link, Linksys oraz Pentagram i zamianę w nich domyślnych serwerów DNS dostawcy internetu na serwery złośliwe. Co to oznacza dla użytkownika, korzystającego z dostępu do sieci przez zainfekowane urządzenie?

Kontrolowanie DNS-ów, czyli systemu nazw domenowych, pozwala przekierować użytkownika wpisującego w przeglądarce poprawny adres strony, którą chce odwiedzić do sfałszowanej strony internetowej. Cyberprzestępcy nie muszą w tym celu wysyłać użytkownikowi żadnych wiadomości z zainfekowanymi załącznikami, ani nakłaniać do klikania w fałszywe linki.  Przekierowanie odbywa się automatycznie, bez udziału i wiedzy ofiary. Takie zagrożenie określane jest przez ekspertów od bezpieczeństwa komputerowego jako pharming.

 

Jak działa DNS, czyli system nazw domenowych

Aby lepiej zrozumieć istotę ataku, warto wiedzieć jak działa DNS. Podstawowym zadaniem systemu nazw domenowych jest przekształcanie rozpoznawalnych dla użytkowników Internetu adresów stron, np. www.pekao24.pl na adresy IP, zrozumiałe dla urządzeń tworzących sieć komputerową, czyli do postaci cyfrowej. Załóżmy, że użytkownik chce odwiedzić witrynę dowolnego banku. W pasku adresu przeglądarki wpisze www.dowolnybank.pl, a serwer DNS zamieni tę nazwę na odpowiadający jej adres IP, np. mający postać 191.101.146.208

 

Na czym polega atak

Pharming to podmiana oficjalnych adresów IP stron WWW na fałszywe adresy IP.

Kontrolując router użytkownika poprzez wspomnianą wyżej podmianę serwerów DNS przestępcy mogą zmieniać oficjalne adresy IP dowolnych stron internetowych na własne. Dzięki temu użytkownik zainfekowanego routera wpisując w przeglądarce poprawny adres strony swojego banku trafi na fałszywą stronę. Cyberprzestępcy dokładają wszelkich starań, żeby na pierwszy rzut oka nie różniła się ona od oryginalnej strony banku, po to, aby użytkownik nie zorientował się, że został oszukany. Wprowadzenie danych do logowania na podstawionej stronie spowoduje, że wprowadzone przez użytkownika dane (przede wszystkim login i hasło) trafią w ręce oszusta.

Częstym celem takiego ataku są witryny banków, sklepów oraz serwisów aukcyjnych, ponieważ mogą przynieść korzyści finansowe dla cyberprzestępcy. Zadaniem podstawionej strony jest pozyskanie poufnych danych, takich jak login, hasło czy numer karty kredytowej i PIN – wszystko po to, żeby jej twórca mógł uzyskać dostęp do konta bankowego, ukraść tożsamość lub popełnić oszustwo, używając danych ofiary.

 

Tak też było w przypadku ataku ze stycznia br. Przestępcy zdalnie włamali się na router Wi-Fi klienta jednego z polskich banków i podmienili w nim DNS-y na własne, a następnie przekierowali adresy banków na fałszywe serwery. Użytkownik zainfekowanego routera podczas zalogowania na swoje konto bankowe nieświadomie przekazał im dane dostępowe. Następnie, na podstawionej stronie banku przestępcy wyświetlili użytkownikowi komunikat o rzekomej konieczności zmiany formatu konta, nawiązującej do zmian wprowadzanych wcześniej w tym banku,  i dodania nowego numeru rachunku (był to numer należący do przestępców) do zaufanych odbiorców. Zaufani odbiorcy to tacy, do których przelewy nie muszą być potwierdzane poprzez dodatkowe uwierzytelnianie, np. kodem SMS. Ofiara wykonywała czynności na stronie kontrolowanej przez przestępców, a ci robili to samo na jej prawdziwym koncie bankowym. W ten sposób uzyskali nieograniczone możliwości przelewania środków zgromadzonych na koncie ofiary na własne konto, z czego skorzystali.

 

Przy tej okazji warto przypomnieć, że żaden bank nigdy nie prosi o autoryzację dyspozycji, której sami nie zainicjowaliśmy. Natomiast operacje wewnętrzne banku, jak zmiany numeracji kont czy formatów rachunków przywołane w powyższym przykładzie są realizowane przez bank automatycznie.

 

Jak rozpoznać, czy Twój router jest podatny na atak?

Najprostszym sposobem jest skorzystanie ze specjalnego narzędzia, które sprawdza czy wykorzystywanych przez użytkownika router jest podatny na atak. Narzędzie jest dostępne pod adresem: http://cert.orange.pl/modemscan/

Możesz także samodzielnie wykonać test routera. W tym celu w pasku adresu przeglądarki wprowadź adres strony, umożliwiającej wygenerowanie kopii zapasowej z konfiguracją routera, czyli:

 

http://IP_TWOJEGO_ROUTERA/rpFWUpload.html

 

gdzie w części "IP_TWOJEGO_ROUTERA" powinien być wprowadzony adres IP zdalnego dostępu do Twojego routera, który znajdziesz w instrukcji urządzenia  (np. może to być 192.168.0.1 lub 192.168.1.1).

Otwarcie powyższej strony powinno zainicjować wygenerowanie pliku z kopią konfiguracji routera. Plik ten znajdziesz pod adresem:

 

http://IP_TWOJEGO_ROUTERA/rom-0

 

gdzie w części "IP_TWOJEGO_ROUTERA" wstaw adres IP twojego routera.

Taka kopia zapasowa będzie zawierała nie tylko dane konfiguracyjne urządzenia, ale również login i hasło dostępu administratora, w postaci skompresowanej. Jednak jej rozkodowanie nie przysporzy przestępcom żadnego  problemu.

Jeśli dostęp do zarządzania routerem jest możliwy spoza bezpiecznej sieci Wi-Fi, czyli z sieci rozległej (WAN) oraz jeśli bez konieczności uwierzytelnienia udało się przejść powyższy proces pozyskania pliku z danymi konfiguracyjnymi, oznacza to, że router jest podatny na atak.

 

Jak rozpoznać, czy Twój router został zainfekowany?

Istnieje wiele sygnałów, które powinny wzbudzić podejrzenia użytkownika:

  • Kiedy podczas logowania do panelu administracyjnego Twojego routera pokazuje się informacja o nieprawidłowych danych logowania, pomimo iż wcześniej nie zmieniane były ustawione fabrycznie dane dostępowe, czyli np. admin / admin (login / hasło) lub logujesz się za pomocą własnych, poprawnych danych.

 

  • Brak kłódki w pasku adresu podczas logowania na stronę banku.

 

  • Brak możliwości sprawdzenia certyfikatu z nieznanych przyczyn.

 

  • Przy wejściu na stronę banku, adres strony nie rozpoczyna się od "https", np. https://www.pekao24.pl tylko od "http", np. http://www.pekao24.pl.

 

  • Pomiędzy "https://" a nazwę domeny "www.pekao24.pl"  wstawione zostały dodatkowe znaki, np. https://ssl.www.pekao24.pl

 

  • Podczas połączenia ze stroną banku Twoja przeglądarka wyświetla informację, że połączenie jest niezaufane, a certyfikat bezpieczeństwa jest niepoprawny, albo też nie można sprawdzić wybranego certyfikatu z nieznanych przyczyn.  

 

  • Po zalogowaniu do serwisu banku pojawi się okienko żądające od użytkownika wykonania podejrzanych czynności na jego koncie, jak w przedstawionej wyżej historii.

 

Powinieneś także sprawdzić z jakich DNS-ów korzysta Twój router. W tym celu w systemie w systemie Windows należy wydać komendę:

 

Start -> Uruchom -> cmd.exe -> ipconfig /all

 

Jeśli korzystasz z Mac OS lub Linuksa, należy uruchomić terminal lub konsolę i wpisać:

 

cat /etc/resolv.conf

 

Jeśli wśród adresów IP serwerów pojawi się jeden z poniższych, adresów DNS:

 

5.45.75.11

5.45.75.36

5.135.199.20

37.252.127.83

62.113.218.106

69.85.88.100

95.211.156.101

95.211.205.5

95.211.241.94

194.44.49.48

 

to będzie znak, że Twój router został zaatakowany, a serwery podmienione na kontrolowane przez przestępców.

 

Jak zabezpieczyć  router?

Jeśli korzystasz z domyślnej, ustawionej fabrycznie nazwy użytkownika i hasła do logowania (zazwyczaj jest to admin/admin) do routera, warto jak najszybciej zmienić te dane na własne.

Jeśli nie możesz się zalogować, a nie zmieniałeś domyślnego hasła, prawdopodobnie Twój router został przejęty przez przestępców. Spróbuj w takiej sytuacji skorzystać z jednego z poniższych haseł: biyshs9eq, 263297 lub jwfbwpn1s (to hasła wykorzystywane przez przestępców wykorzystujących tę lukę w routerach). Pamiętaj, aby po zalogowaniu z hasłem przestępców jak najszybciej zmienić je na swoje w panelu ustawień routera.

Jeśli to również nie pomoże, wtedy konieczny będzie reset routera do ustawień fabrycznych, co wiąże się z usunięciem wszystkich danych. Szczegółową informację jak to zrobić znajdziesz w instrukcji obsługi użytkownika. Pamiętaj jednak, aby wcześniej zapisać sobie login i hasło do połączenia z Internetem, które otrzymałeś od Twojego dostawcy. Po resecie ustawień fabrycznych zmieni się także - na domyślne, login i hasło do panelu administracyjnego routera.

Kiedy już się zalogujesz znajdź zakładkę dedykowaną konfiguracji serwerów DNS i sprawdź, czy nie znajdziesz tam wspomnianych wyżej złośliwych adresów IP. Jeśli tak, to należy je skasować i zamienić na adresy dostarczone przez Twojego dostawcę Internetu. Możesz także wykorzystać bezpieczne adresy serwerów DNS oferowane przez Google - 8.8.8.8 oraz 8.8.4.4.

Następnie przejdź do zakładki zarządzania dostępem do panelu - w każdym modelu routera wygląda to trochę inaczej, zatem w tym przypadku także przyda się instrukcja obsługi - a następnie zgodnie z wytycznymi na instrukcji wyłącz w ustawieniach kontroli dostęp do panelu z poziomu Internetu (dostępu od strony WAN). W przypadku popularnej w Polsce usługi Neostrada należy kliknąć w zakładkę "Zarządzanie dostępem" i usunąć wszystkie widoczne reguły w pozycji "Lista kontroli dostępu". Następnie trzeba utworzyć regułę ACL, która uniemożliwi dostęp do routera po stronie WAN. W tym celu:

  1. najpierw kliknij opcję "Aktywna" przy pozycji "ACL",
  2. ustaw "Indeks reguły ACL (ACL Rule Index)" na 1,
  3. przy pozycji "Aktywny (Active)" zaznacz "Tak",
  4. w pozycji "Bezpieczny adres IP (Secure IP Address)" ustaw wartości: 0.0.0.0 ~0.0.0.0
  5. w pozycji "Aplikacja (Application)" wybierz "Web",
  6. w pozycji "Interfejs (Interface)" wybierz opcję  LAN.

Teraz należy zapisać ustawienia routera.

 

Na koniec warto przypomnieć:

Zanim zalogujesz się na swoje konto sprawdź, czy strona banku jest bezpieczna. Zwróć uwagę nie tylko na standardowe zabezpieczenia (kłódka w pasku adresu, https na początku adresu, czy ważny certyfikat wystawiony dla Twojego banku) ale także na wszelkie nietypowe i nieoczekiwane przez Ciebie komunikaty na stronie banku, które proszą o wykonanie takich czynności, jak ponowne potwierdzanie operacji, czy podawanie danych autoryzacyjnych.

 

Jeśli potwierdzasz dyspozycję przez SMS, przeczytaj dokładnie jego treść i sprawdź, czy faktycznie odpowiada Twojemu zleceniu.

 

Banki wymagają od klientów potwierdzenia tylko tych dyspozycji, które osobiście zainicjowali. Operacje będące inicjatywą banku dokonywane są automatycznie. Klient jest o nich tylko informowany, ale nie musi niczego potwierdzać.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *