Cyberprzestepcy atakują routery domowe, aby dostać się do kont bankowych Polaków - ostrzega zespół CERT Polska. W ten sposób przestępcy dążą do wyłudzenia danych logowania klientów banków i jednorazowych kodów autoryzacyjnych, a w rezultacie do kradzieży pieniędzy z kont. Eksperci podejrzewają także, że ten sam mechanizm może zostać w przyszłości wykorzystany w atakach na użytkowników w innych krajach.
Klienci bankowości elektronicznej po raz kolejny stali się celem cyberataków. Tym razem przestępcy wykorzystują podatność routerów domowych, umożliwiających zdalną zmianę ich konfiguracji. W efekcie mogą modyfikować wpisane serwery DNS i przekierowywać ruch na serwery będące pod ich kontrolą. To oznacza, że użytkownik próbując połączyć się na przykład z serwerem swojego banku zostaje w sposób niezauważony przekierowywany na podstawioną maszynę. Przestępca uzyskuje wówczas dostęp do przesyłanych danych i może fałszować odpowiedzi niektórych domen bankowych, na przykład poprzez dodanie dodatkowej zawartości, żądania potwierdzenia kodem jednorazowym czy zmiany numeru konta. Są to tzw. ataki man-in-the-middle, polegające na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy.
Eksperci zwracają uwagę na to, że ataki dokonywane są pomimo skutecznie działających zabezpieczeń, które wykorzystują strony bankowe. Chodzi przede wszystkim o protokół SSL używany do bezpiecznych połączeń internetowych, zapewniający poufność transmisji przesyłanych danych. Użytkownikom jest on znany w postaci symbolu kłódeczki, który powinien znajdować się przed adresem strony. Problem polega na tym, że SSL zabezpiecza dopiero stronę logowania. Użytkownicy natomiast najczęściej wizytę w banku rozpoczynają od strony informacyjnej, która dopiero po wciśnięciu przycisku “Zaloguj”. prowadzi do serwisu transakcyjnego. W tym momencie przestępcy mogą modyfikować odnośniki na stronach informacyjnych tak, by zamiast do serwera banku prowadziły pod specjalnie spreparowany adres, który rozpoczyna się od ciągu ssl-, ale w rzeczywistości nie jest chroniony protokołem. Możliwe jest wówczas stwierdzenie, że ma się do czynienia z atakiem przez obserwację informacji o szyfrowaniu w przeglądarce, o której świadczy m.in.
wskaźnik kłódeczki. Powodzenie ataku zależy zatem od czujności użytkownika, który wychwyci te różnice.
Według specjalistów CERT Polska przestępcy mogli zaatakować tysiące serwerów. O problemie poinformowały również zagraniczne media, ponieważ istnieje duże prawdopodobieństwo, że przestępcy skorzystają z tego samego schematu, aby zaatakować użytkowników w innych krajach.
–. Biorąc pod uwagę skalę problemu zalecamy użytkownikom routerów sprawdzenie bezpieczeństwa domowej sieci. Świadomość zagrożenia i weryfikacja ustawień routera to pierwszy krok w kierunku zabezpieczenie się przed potencjalnym atakiem - mówi Piotr Kijewski, kierownik zespołu CERT Polska. – Ważne jest także, aby o wszelkich wykrytych nieprawidłowościach natychmiast informować swój bank czy też ekspertów CERT Polska. W przeciwnym razie użytkownikom grozi nie tylko naruszenie prywatności, ale co gorsza utrata oszczędności z kont bankowych – dodaje Piotr Kijewski.
Jak wykryć, czy jest się ofiarą ataku?
Problem dotyczy osób łączących się z Internetem za pośrednictwem lokalnego routera. Najpewniejszą metodą sprawdzenia, czy doszło do podmiany jego ustawień jest sprawdzenie adresów serwerów DNS w panelu konfiguracyjnym. Informacje o sposobie dostępu do panelu konfiguracyjnego routera można znaleźć w instrukcji obsługi. Jeżeli nie pamiętasz nazwy użytkownika i hasła do panelu, możesz przywrócić ustawienia fabryczne.
Prostszym, choć mniej pewnym sposobem jest sprawdzenie, czy nazwy domenowe banków są na Twoim komputerze rozwiązywane prawidłowo. Poniżej znajduje się lista domen, których adresy modyfikowane są przez przestępców wraz z prawidłowymi adresami IP (Uwaga! Lista może nie być kompletna. Przestępcy mogą w każdej chwili zmienić listę domen, do których ruch przechwytują.)
mbank.pl 193.41.230.73 moj.multibank.pl 193.41.230.82 aliorbank.pl 195.182.52.101 ebgz.pl 193.108.194.32 kb24.pl 195.20.110.163
Aby sprawdzić, czy adresy rozwiązywane są prawidłowo, możemy wydać polecenie w linii poleceń Windows lub terminalu Linux: nslookup domena.pl, na przykład:
nslookup mbank.pl
Aby uruchomić linię poleceń w systemie Windows należy wcisnąć przycisk Start i wpisać w oknie wyszukiwania: cmd, a następnie potwierdzić klawiszem Enter.
Następnie należy porównać, czy dla wybranego adresu otrzymany adres IP zgadza się z tabelą powyżej.
Jak się zabezpieczyć?
W przypadku opisanego ataku (inaczej, niż przy użyciu złośliwego oprogramowania na komputerze klienta) do wykrycia ataku wystarcza czujność użytkownika i zwrócenie uwagi na szyfrowanie połączenia.
Zabezpieczając router przed atakiem należy przede wszystkim wyłączyć możliwość konfigurowania go “z zewnątrz”, tj z sieci Internet. Należy także bezwzględnie zmienić domyślne dane logowania do panelu konfiguracyjnego. Szczegółowy opis tych czynności powinien się znajdować w instrukcji obsługi routera.
Warto też rozważyć instalację aktualizacji oprogramowania routera, jeżeli została udostępniona przez producenta. Urządzenia nie wykonują takich aktualizacji automatycznie, co oznacza, że należy ręcznie sprawdzić dostępność łat na stronie producenta i w razie potrzeby zainstalować je zgodnie z instrukcją.
Wreszcie, na urządzeniach końcowych można skorzystać ze statycznie przypisanych serwerów DNS (dostarczanych przez operatora bądź otwartych, np należących do Google 8.8.8.8. 8.8.4.4), uniezależniając się tym samym od konfiguracji routera i ewentualnych nieautoryzowanych zmian w niej.