Besmette advertenties wijzigen dns-instellingen routers
Internetcriminelen maken gebruik van besmette advertenties op legitieme websites om de dns-instellingen van routers en andere opties te wijzigen. De aanvallen richten zich op Chrome-gebruikers op Android en Windows. Zodra de besmette advertentie door de browser is geladen proberen de aanvallers via cross site request forgery (csrf) of andere exploits toegang tot de router te krijgen.
Vervolgens worden de dns-instellingen van de router aangepast. Bij een aantal routers proberen de aanvallers ook de beheerpoorten voor externe adressen toegankelijk te maken. Daardoor loopt de router ook risico om bijvoorbeeld door de Mirai-malware te worden aangevallen. Volgens onderzoekers van beveiligingsbedrijf Proofpoint is de motivatie van de aanvallers om de dns-instellingen aan te passen niet altijd duidelijk, maar zou in dit geval worden geprobeerd om verkeer van een aantal grote advertentiebedrijven te stelen zoals OutBrain en Propellerads. De advertenties die gebruikers te zien krijgen kunnen door de dns-aanpassing bijvoorbeeld worden vervangen of zich anders gedragen.
De exploitkit die de aanvallers gebruiken zou inmiddels 166 exploits bevatten, waarbij sommige exploits voor meerdere routermodellen werken. Een jaar geleden bevatte de exploitkit nog 55 exploits. Het gaat onder andere om routers van Netgear, D-Link, en Comtrend die worden aangevallen. Ten opzichte van vorig jaar wordt nu ook geprobeerd de beheerpoorten van de routen open te zetten en werken de besmette advertenties op Androidtoestellen. Volgens de onderzoekers is er geen eenvoudige manier om dit soort aanvallen te voorkomen. Het installeren van de laatste router-updates is de belangrijkste manier om exploits te voorkomen. Ook het veranderen van de lokale ip-reeks kan helpen. De onderzoekers stellen echter dat veel doorsnee gebruikers dit soort zaken niet uitvoeren.
"Als aanvallers de dns-server op een netwerk beheren, hebben ze de mogelijkheid om allerlei aanvallen uit te voeren op apparaten die met het netwerk verbinding te maken. Het kan gaan om fraude met internetbankieren, man-in-the-middle-aanvallen, phishing, advertentiefraude en meer. In dit geval laat de exploitkit aanvallers de dns-server op de internetrouter veranderen. Om dit soort aanvallen te voorkomen moeten routerfabrikanten regelmatig hun firmware patchen en gebruikers deze patches installeren", zo concluderen de onderzoekers.
Alle DNS traffic m.u.v. een kleine whitelist naar de eigen resolver sturen bijvoorbeeld.
Koop een Fritz-box, deze wordt actief door de fabrikant ondersteund. Oh wacht, die is ietsje duurder dan de concurrentie.
Sorry, er zijn geen oplossingen. /sarc
1) Zorg dat de beheer-interface (GUI, de webpagina's van de router) niet toegankelijk is vanaf WAN-zijde (publiek internet);
2) Wijzig het standaard beheerwachtwoord en, in de thuissituatie, schrijf dat rustig op een sticker onderop de router (samen met het WiFi wachtwoord (dat je natuurlijk ook gewijzigd hebt);
3) Zorg dat je slechts 1 browservenster en tab hebt openstaan als je inlogt op de router en idem gedurende de werkzaamheden daarop. Gebruik, als jouw browser dat ondersteunt, een "private tabblad" hiervoor;
4) Laat NOOIT je webbrowser jouw wachtwoorden onthouden;
5) Log actief uit van je router als je klaar bent daarop;
6) Controleer dat je niet zonder inloggen bij de routerinstellingen kunt komen. Lukt dat wel, gooi dan je hele browserhistorie weg (als daarna sites niet meer zo werken als eerst, had jouw browser potentieel vertrouwelijke gegevens van jou bewaard, en dat is een risico).
1) Zorg dat de beheer-interface (GUI, de webpagina's van de router) niet toegankelijk is vanaf WAN-zijde (publiek internet);
2) Wijzig het standaard beheerwachtwoord en, in de thuissituatie, schrijf dat rustig op een sticker onderop de router (samen met het WiFi wachtwoord (dat je natuurlijk ook gewijzigd hebt);
3) Zorg dat je slechts 1 browservenster en tab hebt openstaan als je inlogt op de router en idem gedurende de werkzaamheden daarop. Gebruik, als jouw browser dat ondersteunt, een "private tabblad" hiervoor;
4) Laat NOOIT je webbrowser jouw wachtwoorden onthouden;
5) Log actief uit van je router als je klaar bent daarop;
6) Controleer dat je niet zonder inloggen bij de routerinstellingen kunt komen. Lukt dat wel, gooi dan je hele browserhistorie weg (als daarna sites niet meer zo werken als eerst, had jouw browser potentieel vertrouwelijke gegevens van jou bewaard, en dat is een risico).
Wat je daarna nog moeilijk kunt voorkomen, zijn lekken en kwetsbaarheden die de fabrikant (nog) niet heeft gepatcht en toegang verschaft tot de DNS-instellingen.
Koop een Fritz-box, deze wordt actief door de fabrikant ondersteund. Oh wacht, die is ietsje duurder dan de concurrentie.
Sorry, er zijn geen oplossingen. /sarc
Kun je dan niet beter een vergiet kopen, dat is veiliger en stukken goedkoper dan een Fritzbox...
Ik ben niet altijd positief over de Fritz!box maar heel veel dingen hebben zij wel goed voor elkaar. Een wachtwoord moet je instellen tijdens of na de herstart na het instellen en daar kom je zover ik weet niet omheen.
Als je wachtwoorden laat onthouden in jouw browser dan ben je zelf weer verantwoordelijk en moet je niet zeiken als dit misbruikt wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.