Zmasowany atak na routery polskich użytkowników. Orange blokuje fałszywe DNS-y.


Hesperbot wykrada kody SMS

Dynamiczny rozwój bankowości elektronicznej w Polsce i na świecie sprawił, że pieniądze z kont bankowych stały się łakomym kąskiem dla różnej maści internetowych oszustów. Kody SMS oraz inne zabezpieczenia stosowane przez banku, nadal stanowią bastion niezdobyty przez elektronicznych przestępców. Problem w tym, że użytkownicy w niezwykle dużym stopniu podatni są na różnego rodzaju manipulacje (socjotechnika), które bezpośrednio przyczyniają się do kradzieży pieniędzy.

W ubiegłym roku eksperci bezpieczeństwa ESET zidentyfikowali konia trojańskiego Hesperbot, który potrafi wykradać pieniądze z kont bankowych niczego nieświadomych użytkowników. Hesperbot rozprzestrzenia się za pomocą klasycznej wiadomości phishingowej, która zawiera zainfekowany załącznik.

Zobacz również:

  • Oszustwo "na cudowny krem" - nie daj się nabrać!

ESET podaje przykład ataku, który został wykorzystany przeciw czeskim internautom. Potencjalne ofiary Hesperbota otrzymały wiadomość, która wyglądała jak powiadomienie z tamtejszego urzędu pocztowego z informacją o statusie doręczenia przesyłki. Załącznik, który imitował dokument PDF (zasilka.pdf.exe), w rzeczywistości był plikiem wykonywalnym, którego uruchomienie inicjowało infekcję komputera.

Nie byłoby w tym jeszcze nic nadzwyczajnego, gdyby nie fakt, że autorom Hesperbota udało się znaleźć obejście mechanizmu autoryzacji transakcji bankowych za pomocą jednorazowych kodów SMS. Podczas łączenia ze stroną banku, na komputerze zainfekowanym koniem trojańskim, wyświetlany jest komunikat, który informuje użytkownika o konieczności zainstalowania na telefonie komórkowym niewielkiej aplikacji mobilnej. Aplikacja ta przechwytuje i przekazuje cyberoszustom otrzymane z banku wiadomości SMS z kodami służącymi do autoryzacji przelewów.

Udany atak jest możliwy, bowiem Hesperbot podsłuchuje całą transmisję danych między komputerem użytkownika, a bankiem. Cyberprzestępca może widzieć obraz wyświetlany na monitorze ofiary oraz przechwytywać znaki wpisywane przez niego na klawiaturze.

Jak to działa?

Wróćmy jednak do sprawy ataku na routery. System DNS stanowi podstawę funkcjonowania internetu. W trakcie przyłączania do sieci, router WiFi przekazuje każdemu urządzeniu informację o konfiguracji sieci, w tym serwerach DNS, używanych do przekształcania nazw domenowych na adresy IP, zrozumiałe dla komputerów i innych urządzeń w sieci.

Wykryty niedawno masowy atak na routery związany był ze zmianą domyślnych serwerów DNS na takie, które zostały uruchomione i są pod kontrolą cyberoszustów. Zamiast ze stroną swojego banku, użytkownik łączy się więc z fałszywą witryną, która umożliwia przestępcom przejęcie danych logowania i innych poufnych informacji.

Czy padłem ofiarą ataku?

Zacznij od sprawdzenia, czy twój komputer korzysta z legalnych serwerów DNS. Kliknij menu Start, a następnie w polu uruchom wpisz cmd.exe. W wierszu poleceń wpisz komendę ipconfig /all, a następnie sprawdź konfigurację DNS dla interfejsu karty sieciowej, która umożliwia dostęp do zasobów sieci lokalnej i internetu.

Fałszywe DNS-y

Serwis Niebezpiecznik.pl, na podstawie danych zebranych od swoich użytkowników, podał listę fałszywych serwerów DNS, uruchomionych przez oszustów. Padłeś ofiarą cyberataku, jeśli twój komputer został skonfigurowany do używania któregoś z tych serwerów DNS.

  • 5.45.75.36,
  • 5.45.75.11,
  • 95.211.241.94,
  • 95.211.205.5,
  • 95.211.156.101,
  • 37.252.127.83,
  • 69.85.88.100,
  • 62.113.218.106.

Sprawdź podatność routera

W kolejnym kroku sprawdź, czy twój router może być konfigurowany z internetu. Zespół Orange Polska CERT udostępnił narzędzie modemscan (www.cert.orange.pl/modemscan), które weryfikuje, czy router jest podatny na wykryte niedawno zagrożenia.

Zmasowany atak na routery polskich użytkowników. Orange blokuje fałszywe DNS-y.

Znajdziesz tutaj również wskazówkę, co zrobić, aby zabezpieczyć router przed atakami.

Zmasowany atak na routery polskich użytkowników. Orange blokuje fałszywe DNS-y.

Orange udostępnił narzędzie modemscan (www.cert.orange.pl/modemscan), które umożliwia sprawdzenie podatności routera na ataki związane z luką w dostępie do panelu zarządzania.