Вам нужна еще одна причина для смены дефолтного
пароля и никнейма на своем проводном или беспроводном интернет маршрутизаторе?
Пожалуйста. Фишеры рассылают определенные ссылки, и после клика на них
настройки Вашего маршрутизатора изменяются, чтобы злоумышленники могли получить
учетные данные дистанционного банковского обслуживания и другую важную
информацию жертвы.
Охранная компания Proofpoint, расположенная в
Sunnyvale, штат California,
сообщает о выявлении 4-недельной спам-кампании. Спам рассылался в небольшое
число компаний, преимущественно бразильских.
Электронные письма по виду были очень похожи на оригинальные письма
бразильских интернет-провайдеров. В них пользователей информировали о неких
неоплаченных счетах. В действительности в письмах содержалась ссылка, направленная
на взлом маршрутизатора.
Согласно Proofpoint, ссылка отправляла
пользователя на страницу, которая, в свою очередь, напоминала страницу
провайдера. В странице был спрятан код, который в тайне от пользователя совершал
действия, известные как “межсайтовая подделка запроса” (вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP). Атака была
направлена на два типа маршрутизаторов: UT Starcom и TP-Link. Вредоносная
страница запускала так называемые iframes (HTML документ, встроенный в другой
HTML документ), которые пытались войти на страницу администратора того или
иного маршрутизатора, используя список известных дефолтных учетных данных,
встроенных в эти устройства.
В случае успеха настройки
системы доменных имен (DNS) изменялись, DNS-сервер хакера становился основным, а Google Public DNS (8.8.8.8) – второстепенным. Все это позволяет хакерам
похищать любой трафик пользователя, перенаправив его с нормальной страницы на похожие
для перекачки учетных данных жертвы. Если DNS сервер хакера не отвечал, то маршрутизатор
продолжал работать корректно.
Реальная опасность
заключается в том, что антивирус не может распознать эти атаки, и, скорее
всего, пройдет много времени, пока пользователь обнаружит что-то неладное.
«Эти атаки не
оставляют никаких следов, за исключением отправки е-мейлов», - сказал Kevin
Epstein, вице-президент отдела безопасности и управления Proofprint. «И даже если среднестатистический
пользователь будет проверять настройки DNS своего маршрутизатора, то он вряд ли
заметит, что что-то не так».
Во многих современных
маршрутизаторах есть встроенные защитные средства против таких атак, но
постоянно вскрываются все новые и новые уязвимые места даже новейших
маршрутизаторов. Я поинтересовался у Proofpoint, смогли бы эти защитные меры противостоять
выше описанной атаке. Ответ был отрицательный.
«Конечно,
маршрутизаторы, подвергшиеся атаке в бразильских компаниях, не являются лучшими
примерами своего класса. В том числе и поэтому оказались уязвимыми», - написал ведущий
аналитик Proofpoint в ответ на вопрос. ‑ «Вы думаете о том, что cross-origin
policy (позволяет предоставить веб-странице доступ к ресурсам другого домена)
как раз создавалась для противодействия таким атакам (похожим, но не
идентичным, так как в основном она фокусируется на javascript). В нашем случае
iframes разрешены по умолчанию. Таким образом, современные браузеры сами
принимают участие в атаке.
В любом случае, я
надеюсь, что теперь Вам понятно, что оставлять дефолтные пароли не стоит. Если
Вы еще не изменили дефолтные учетные данные на своем маршрутизаторе, самое
время это сделать.
Комментариев нет:
Отправить комментарий