Bő két éve egyszer már volt belőle botrány, amikor kiderült, hogy brazil végfelhasználók jellemzően otthon használt routereit támadás érte. Bár a támadás – mint azt összefoglalójában a Biztonságportál is írta – megmaradt brazil problémának, arra rávilágított, hogy ilyen támadás bárhol és bármikor bekövetkezhet. És valóban: világszerte megszaporodtak az otthoni routerek sebezhetőségét kihasználó támadások.
Ismét Brazília a forrás
A múlt héten egy olyan támadásra figyeltek fel Sucuri biztonsági cég és a Kaspersky Lab kutatói, ami mindkét amerikai kontinenst sújtotta. A nagyszabású támadássorozatra ismét Brazíliából indult, de gyorsan átterjedt az Egyesült Államokra, Kínára, Kanadára és Mexikóra is.
Ez a támadássorozat ráadásul sokkal rafináltabb, mint a két évvel ezelőtti volt, ugyanis bizonyos esetekben a felhasználó közreműködése nélkül, teljesen észrevétlenül tudták végrehajtani. A támadók az akcióikat kéretlen levelek küldözgetésével kezdik, amelyek egyebek mellett felnőtteknek szóló tartalmakkal kecsegtető weboldalak megtekintésére buzdítják a címzetteket. Ha a címzett rákattint az e-mailekben lévő hivatkozásra, akkor egy olyan weboldalra jut, amely a háttérben önálló életre kell.
Lefut egy sor script, amelyek célja, hogy a hálózatban lévő router DNS beállításait manipulálják. Ha ez megtörténik, akkor a csalók webes átirányításokat hajthatnak végre, illetve DNS-alapú károkozásokat kezdeményezhetnek.
A scriptek egyszerűek, és nem is minden routernél működnek. Csak akkor képesek károkozásra, ha az adott hálózatban az útválasztó adminisztrációs felületéhez tartozó felhasználónév és jelszó páros az alábbiak egyike: admin/admin, admin/velox, root/root és admin/gvt12345. Ez utóbbi alapértelmezett felhasználó/jelszó párost az egyik nagy brazil szolgáltató használja.
Ha ez nem működne...
A scripteket azonban arra is felkészítették, ha a felhasználó már módosította az alapértelmezett azonosítást. Ekkor megjelenik egy ablak a böngészőben, amely kéri a felhasználótól a hitelesítési adatait. Ha a felhasználó megadja, a scriptek újra, immár sikeresen lefuthatnak, már ha velük kompatibilis az útválasztó.
A Sucuri szakértői által megvizsgált esetekben speciálisan összeállított hivatkozásokat tartalmazó iFrame kódrészletek is szerephez jutottak, melyekkel külső tartalmakat lehet weboldalakba bejuttatni. Ráadásul ezeket az iFrame-eket teljesen legális, de manipulált oldalakon, például egy hírportálon is megtalálták már.
Ha a támadás sikeres, a támadók gyakorlatilag a felhasználó teljes forgalmát át tudják irányítani tetszőleges szerverekre, például hamis weboldalakra. A veszély nagy, pedig a védekezés egyszerű: meg kell változtatni a routerek alapértelmezett bejelentkezési adatait, amiket csak akkor kell megadni, ha valóban a router beállításait akarjuk módosítani.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak