• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:300

攻擊者目前瞄準巴西的D-Link DSL數據機路由器並利用它們將DNS設置更改為攻擊者控制下的DNS伺服器。如此可將試圖連接到線上銀行的用戶重導向到竊取用戶帳戶資訊的偽造銀行網站。

根據Radware的研究，攻擊者使用的攻擊可對某些D-Link DSL數據機/路由器上的DNS設置執行未經身份驗證的遠端更改。這使他們可以對大量易受攻擊路由器輕鬆掃描並編寫更改腳本，使其DNS設置指向受攻擊者控制的DNS伺服器。

當用戶嘗試連接到Internet上的站點時，他們首先查詢DNS伺服器以將主機名（如www.google[.]com）解析為IP地址（如172.217.11[.]36）。然後，電腦將連接到此IP地址並啟動所需的連接。透過更改路由器上使用的名稱伺服器，用戶將在不知情的情況下被重定向到虛假和惡意網站，並認為它們是合法且值得信賴的。

此攻擊中使用的惡意DNS伺服器為69.162.89[.]185和198.50.222[.]136。這些伺服器會將Banco de Brasil（www.bb.com[.]br）和Itau Unibanco（主機名www.itau.com[.]br）的線上銀行被重定向到偽造網站。當用戶訪問虛假網站時，它們看起來幾乎與原始銀行網站相同。但是，在虛假網站上，他們會被要求提供銀行代理機構號碼、帳號、八位數密碼、手機號碼、卡片密碼和CABB號碼，攻擊者藉此收集資訊。

Radware的研究表示，這種方法的獨特之處在於這種劫持攻擊是在沒有與用戶互動的情況下進行的，這種類型的攻擊非常危險，劫持工作無需在用戶的瀏覽器中製作或更改URL，因為沒有網路釣魚電子郵件，也沒有用戶電腦上的更改。相反，一切都在路由器本身完成，是在Gateway層有效地進行劫持，所以對用戶來說似乎一切都如常。用戶使用任何瀏覽器或手動輸入URL，甚至透過智慧手機或平板電腦等移動設備使用，仍然會被發送到惡意網站而不是到他們要求的網站。

在瞭解了這項新的活動之後, Radware 已經通知銀行, 所有的惡意網站都已離線。對於可能擔心自己是此類攻擊的受害者的用戶，Radware建議使用http://www.whatsmydnsserver.com/站點檢查路由器配置的DNS伺服器，可以確定是否存在看起來可疑的伺服器，因為它們不會由您的Internet服務提供商擁有或分配。

參考連結：

https://www.bleepingcomputer.com/news/security/hackers-exploiting-dlink-routers-to-redirect-users-to-fake-brazilian-banks/
https://blog.radware.com/security/2018/08/iot-hackers-trick-brazilian-bank-customers/
http://www.whatsmydnsserver.com/