مقالات

هکرها از روترهای DLink برای هدایت کاربران به نسخه جعلی وب‌سایت بانک‌های برزیلی استفاده می‌کنند

مهاجمین سایبری مودم‌های DLink DSL را در کشور برزیل هدف گرفته‌اند و از آن‌ها برای تغییر تنظیمات DNS و جایگزینی آن با DNS server تحت کنترل خودشان سو‌ءاستفاده می‌کنند؛ بنابراین با انجام این کار می‌توانند کاربرانی را که قصد اتصال به سیستم بانکی آنلاین دارند، به وب‌سایت‌های جعلی هدایت کنند که اطلاعات حساب کاربر را به سرقت می‌برند.

طبق تحقیقات صورت گرفته توسط مرکز Radware، اکسپلویت مورد استفاده مهاجمین امکان تغییر بدون مجوز تنظیمات DNS را در روترها و مودم‌های DLink DSL برای آن‌ها فراهم می‌کند. به این ترتیب می‌توانند به آسانی حجم انبوهی از روترهای آسیب‌پذیر را پیدا کرده و تنظیمات DNS آن‌ها را تغییر دهند، به صورتی که سرور DNS عملا تحت کنترل خودشان قرار داشته باشد.

وقتی کاربری سعی دارد به سایتی در اینترنت متصل شود، اول سرور DNS نام میزبان، مثل www.google.com را تبدیل به آی پی مربوط به آن مثل ۱۷۲.۲۱۷.۱۱.۳۶ می‌کند. سپس کامپیوتر شما به این آی پی متصل شده و ارتباط مورد نظر برقرار می‌شود. با تغییر دادن name server‌هایی که در روترها استفاده می‌شوند، کاربران بدون هیچ اطلاعی به وب‌سایت‌های مخرب و جعلی متصل می‌شوند و تصور می‌کنند که این وب‌سایت‌ها مجاز و قابل‌اعتماد هستند.

DNS server‌های مخرب مورد استفاده در این حمله ۶۹.۱۶۲.۸۹.۱۸۵ و ۱۹۸.۵۰.۲۲۲.۱۳۶ بوده‌اند. این سرورها به صورتی تنظیم شده بودند که کاربرانی که قصد اتصال به بانک‌های برزیلی Banco de Brasil (www.bb.com.br) و Itau Unibanco (www.itau.com.br) را دارند، به وب‌سایت جعلی مشابهی هدایت شوند.

در تحقیق Radware آمده «ویژگی منحصر بفرد این روش این است که عمل DNS ربایی بدون صورت گرفتن هرگونه تعاملی از سوی کاربر انجام می‌شود. پیش از این در ابتدای سال ۲۰۱۴ و در سراسر سال‌های ۲۰۱۵ و ۲۰۱۶، کمپین‌های فیشینگ و کمپین‌هایی با URLهای مخرب و آگهی‌افزارها ساخته شده بودند که سعی داشتند تنظیمات DNS را از داخل مرورگر کاربر تغییر بدهند. در سال ۲۰۱۶، یک ابزار سو‌‌ءاستفاده (اکسپلویت) تحت عنوان RouterHunterBr 2.0 در اینترنت منتشر شد که از همان URL‌های مخرب استفاده می‌کرد اما در حال حاضر گزارشی مبنی بر سو‌ءاستفاده از این ابزار به دست Radware نرسیده است.»

وب‌سایت‌های تقلبی و جعلی بانک‌ها معمولا مشابه با وب‌سایت‌های اصلی هستند؛ اما در وب‌سایت‌های جعلی از کاربران درخواست می‌شود که اطلاعاتی مثل شماره حساب، کد شعبه، پین کد هشت رقمی، شماره موبایل، شماره کارت و غیره را وارد کنند. سپس این اطلاعات توسط مهاجمین جمع‌آوری می‌شوند.

روترهای DLink

در تصویر بالا یک نمونه وب‌سایت تقلبی مشابه با وب‌سایت اصلی را مشاهده می‌کنید (منبع: Radware)

تنها علامتی که مشخص می‌کند در این بین مورد مشکوکی وجود دارد این است که مرورگر نشان می‌دهد این صفحه امن نیست (Not Secure) که این مورد را در تصویر بالا مشاهده می‌کنید. یا این که هشدارهایی درباره گواهینامه وب‌سایت نمایان می‌شود که این مورد در تصویر زیر مشخص شده است.

روترهای DLink

این تصویر هشداری است درباره گواهینامه (Certificate) وب‌سایت‌های جعلی

همان‌طور که قطعا متوجه شدید این نوع حمله به‌شدت خطرناک است به این دلیل که هیچ ایمیل فیشینگی وجود ندارد و هیچ تغییری در کامپیوتر کاربر صورت نمی‌گیرد. در عوض همه چیز روی خود روتر انجام می‌شود به صورتیکه همه چیز از دید کاربر بدون مشکل به نظر می‌رسد.

Radware در ادامه گزارش خاطرنشان کرده: «این حمله بسیار خطرناک است، از این جهت که کاربر کاملا از ایجاد تغییرات بی‌خبر است. این DNS ربایی بدون دست‌کاری و تغییر URL‌های درون مرورگر کاربر رخ می‌دهد. ممکن است کاربری که قربانی این حمله می‌شود، از هر نوع مرورگری یا هر میانبری برای ورود به سایت استفاده کرده باشد، ممکن است URL را به صورت دستی تایپ کند یا حتی از مرورگرهای موبایلی گوشی هوشمند یا تبلت استفاده کند. در هر صورت کاربر به جای هدایت به وب‌سایت درخواستی به وب‌سایت مخرب هدایت می‌شود و عمل DNS ربایی در سطح درگاه (gateway) انجام می‌گیرد.»

Radware پس از شناسایی این کمپین مخرب به بانک‌ها اطلاع‌رسانی کرده و سپس تمام این وب‌سایت‌های مخرب از دسترس خارج شدند.

Radware به کاربرانی که نگران قربانی شدن در برابر این نوع حمله هستند، توصیه می‌کند که از سایت http://www.whatsmydnsserver.com برای بررسی DNS server‌های پیکربندی شده‌شان استفاده کنند. به این ترتیب می‌توانید متوجه شوید که آیا سرورهای مخربی در بین آن‌ها وجود دارند یا خیر (به این دلیل که سرورهای مخرب تحت مالکیت ارائه دهنده سرویس اینترنت شما قرار ندارند و بنابراین می‌توان آن‌ها را شناسایی کرد).

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شانزده + 12 =

دکمه بازگشت به بالا
بستن
بستن