image

Gehackte D-Link-modems sturen gebruikers naar phishingsites

maandag 13 augustus 2018, 10:31 door Redactie, 0 reacties

Onderzoekers hebben in Brazilië een aanval ontdekt waarbij modemrouters van fabrikant D-Link worden gehackt en aangepast, zodat gebruikers bij het bezoeken van hun banksite op een phishingsite terechtkomen. De aanvallers maken gebruik van exploits die al sinds begin 2015 bekend zijn en waarmee de dns-instellingen van de modemrouter zijn aan te passen. Vervolgens stellen de aanvallers hun eigen dns-server in.

Dit zorgt ervoor dat alle dns-verzoeken van de gebruiker via de dns-server van de aanvallers lopen. Normaliter vragen internetgebruikers aan de dns-server van hun provider waar een website te vinden is. In het geval van de gehackte modemrouters vragen gebruikers dit aan de aanvallers. Zodra de gebruiker naar de website van de Banco de Brasil wil gaan sturen de aanvallers hem of haar door naar een phishingsite.

Wanneer gebruikers op deze phishingsite belanden worden allerlei gegevens gevraagd, zoals rekeningnummer en beveiligingscodes. De phishingsite maakt echter geen gebruik van een tls-certificaat. Als gebruikers die via https proberen te bezoeken verschijnt er dan ook een waarschuwing in de browser. Ook verzoeken voor de Braziliaanse bank Itau Unibanco worden onderschept, maar die blijken nog niet naar een werkende phishingsite te wijzen.

"Het kapen werkt zonder het aanpassen van de url in de browser van de gebruiker. Een gebruiker kan elke willekeurige browser of snelkoppeling gebruiken, de url zelf in de browser intypen of zelfs mobiele apparaten zoals een smartphone of tablet gebruiken. De gebruiker zal echter nog steeds naar de kwaadaardige website worden doorgestuurd, in plaats van de opgevraagde website", aldus onderzoekers van securitybedrijf Radware.

De onderzoekers merken verder op dat als de kwaadaardige dns-server uit de lucht wordt gehaald, alle getroffen gebruikers geen websites meer kunnen opvragen, tenzij ze de dns-instellingen weer handmatig terugzetten. De aanvallen zijn onder andere gericht tegen de Shuttle Tech ADSL Modem-Router 915 WM, D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B en DSL-526B ADSL2+.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.