Dziura w oprogramowaniu routera pozwoliła ukraść 16 tysięcy złotych

Luki w zabezpieczeniach potrafią być przyczyną naprawdę wielu problemów. Przekonał się o tym jeden z klientów Mbanku, który stracił ze swojego rachunku 16 tysięcy złotych. Przyczyną była zmiana adresów DNS w jego routerze i socjotechnika pozwalająca na wyciągnięciu od ofiary jednego kodu SMS. Podatnych na ten sam atak może być nawet 12 milionów innych mieszkańców Polski!

Informacje o dziurze w zabezpieczeniach popularnych routerów takich marek jak TP-Link, D-Link i Pentagram pojawiły się już dwa tygodnie temu. Od tego czasu cyberprzestępcy nie próżnowali i przygotowali bardzo cwany atak wymierzony w klientów Mbanku. Jak donosi serwis niebezpiecznik.pl, zgłosił się do nich czytelnik, z którego konta zniknęło w wyniku istnienia tej luki 16 tysięcy złotych.

Modelem routera wykorzystywanym przez okradzioną osobę był AirLive WT-2000ARM, a na atak pozwoliła zmiana adresów DNS. Dzięki temu cyberprzestępcy mogli podmieniać wybrane adresy IP dla wpisanych przez użytkownika domen. Tym samym po przejściu na stronę banku użytkownik widział stronę, która była wierną kopią witryny banku, różniącą się wyłącznie brakiem certyfikatu SSL.

Co ciekawe, w tym przypadku udało się ukraść pieniądze mimo zabezpieczenia każdej transakcji kodem SMS. Wykorzystana została do tego socjotechnika polegająca na tym, że klientowi wyświetlił się monit o konieczności aktualizacji numeru konta. Jako powód podane było połączenie się Mbanku i Multibanku. Wiązało się z koniecznością wpisania na podstawionej witrynie właśnie tego numeru konta i kodu SMS.

Osoby, które dały złapać się na ten atak wpisywały kod SMS na podstawionej stronie, a w tym samym czasie cyberprzestępcy zalogowani na konto użytkownika dokonywali swoich operacji. Pozwoliło to atakującym na na zdefiniowanie nowego zaufanego odbiorcy przelewu, a wysłanie na taki numer konta pieniędzy nie wymaga późniejszego potwierdzenia. Oczywiście ten “zaufany” odbiorca przelewu to był rachunek, z którego potem pieniądze były przesyłane dalej.

Uwaga! Na podobny atak polegający na podmianie DNS bezpośrednio w routerze podatni mogą być nie tylko klienci Mbanku, ale też każdego innego banku i użytkownicy dowolnej strony. O tym, jak zabezpieczyć się przed tego typu atakiem można przeczytać w poście na Niebiezpieczniku.


Zobacz również