Lepiej sprawdź, czy twój router jest dziurawy. On nie sprawdził i stracił 16 tys. zł

O atakach cyberprzestępców zwykliśmy myśleć jak o ciężkiej chorobie albo wypadku samochodowym: "Przecież mnie to nie dotyczy". Ten mężczyzna zapewne też tak myślał, niestety miał ogromnego pecha. Z jego konta w mBanku wyparowała olbrzymia kwota.

W połowie stycznia w sieci pojawiły się doniesienia o nowej dziurze wykrytej w oprogramowaniu licznych routerów. Na liście modeli znajdują się m.in. "TD-W8901G","TD-8816", "TD-W8951ND", "TD-W8961ND", "D-Link DSL-2640R", "AirLive WT-2000ARM","Pentagram Cerberus P 6331-42", "ZTE ZXV10 W300" (sprzedawany przez Orange i T-Mobile). Bez żadnego uwierzytelnienia można dostać się do podstrony pozwalającej wygenerować backup konfiguracji urządzenia, a plik z takim backupem można zdekodować, wykradając z niego hasło.

Czym to się może skończyć? Odpowiedzią na to pytanie jest dramatyczna historia opisana przez portal Niebezpiecznik.pl

15 stycznia z konta mi zniknęło blisko 16.000 zł. Przelew został wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank), ale i jednoczesnie natychmiast został przelany na kolejne numery kont (osób, które jak się okazało, też były ofiarami). Cala procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów w routerze (podatny na atak AirLive WT-2000ARM). Potwierdzilem to, kiedy drugi raz, 2 dni temu, znów coś niepokojącego pojawiło się na stronie mBanku. Nie mogłem uruchomić nowej wersji strony banku. Caly czas przekierowywało mnie na starą wersję, co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał tak: ssl-.www.mbank.com.pl

Jak wiadomo do wykonania przelewu z banku internetowego trzeba użyć kodu SMS. Jak zatem doszło do kradzieży? O tym za chwilę.

Wyjaśnijmy w jaki sposób zaatakowano router. Najpierw złodzieje wyszukują modele podatne na atak (robią to poprzez np. odpytanie specjalnej strony). Urządzenie musi mieć włączoną możliwość logowania się zdalnego.

Czasami zdarza się, że do rutera nie trzeba się nawet włamywać (użytkownik nie zmienił hasła domyślnego). W innym wypadku trzeba wykraść z urządzenia plik z backupem i zdekodować znajdujące się w nim hasło. Po uzyskaniu dostępu przestępcy zmieniają adresy serwerów DNS.

Czym jest DNS? To specjalny węzeł, który tłumaczy wywoływany adres strony na adres IP. Wystarczy więc, że przekieruje nas na sfałszowaną stronę banku i nic nie będziemy w stanie zauważyć.

Cyberprzestępcy postarają się, żeby ich strona wyglądała tak jak oryginał. Tym bardziej, że do przeprowadzenia skutecznego etapu niezbędny jest jeszcze jeden krok.

Jak wspominałem wcześniej bez hasła przesłanego SMS przestępcy nie mogliby ukraść z konta 16 tys. zł. Na poniższym zrzucie widać jednak, że wykazali się wyjątkową bezczelnością: przekonali ofiarę, że z uwagi na połączenie marek mBank i Multibank należy potwierdzić swój numer konta. A do tego konieczne jest przepisanie otrzymanego kodu (tak żeby bank miał pewność, że "my" to "my").

Niebezpiecznik

Fot. Niebezpiecznik.pl

 

Faktycznie jednak hakerzy przy pomocy hasła podanego im przez ofiarę dokonali przelewu na kwotę 16 tys. zł. A konkretnie: dodali do listy "Odbiorców zdefiniowanych" osobę posiadającą konto w mBanku. Pokrzywdzony myślał, że potwierdza "autoryzację swojego numeru konta", a nie że dodaje kolejny przelew do listy przelewów zaufanych. Później przestępcy do przelewu nie potrzebowali już kodu SMS- mogliby wykonać nawet 10 operacji po 1600zł, oszukany mężczyzna by o tym nie wiedział. Gdyby ktoś zostawił w miejscu publicznym komputer z otwartą stroną banku można by dokonać dowolnych przelewów w ramach "zdefiniowanych odbiorców". Taki przelew odbywa się bez żadnej dodatkowej autoryzacji.

kiedy ofiara wpisywała login i hasło na podstawionej, kontrolowanej przez atakujących stronie, te same dane atakujący "odbijali? w tym samym czasie w stronę oficjalnej strony mBanku. Dzięki temu, zdefiniowanie "zaufanego odbiorcy?, mimo iż przeprowadzone na podstawionej stronie, rzeczywiście miało miejsce na prawdziwym koncie klienta.

- wyjaśnia Niebezpiecznik.pl

Pomyślicie zapewne, że jeśli w przypadku ewentualnej kradzieży natychmiast zareagujecie bandytów da się szybko namierzyć? Niestety, portal rozwiewa te nadzieje:

Wedle relacji naszego czytelnika, przestępcy potrzebowali kilku godzin, aby wytransferować środki z jego konta. mBank, po złożeniu reklamacji przez klienta odpisał, że ma, cytując czytelnika, "związane ręce dopoki policja i prokuratura nie przedstawi swego stanowiska, a to może trwać od 3 do 12 miesięcy. Reklamacja zostaje zawieszona do momentu decyzji prokuratury?.

Najskuteczniejszym sposobem na uniknięcie tego typu problemom jest zabezpieczenie naszej sieci. Pierwszym krokiem może być skorzystanie z bezpłatnego narzędzia udostępnionego przez Orange. Na stronie cert.orange.pl/modemscan dowiemy się, czy nasz router jest "widoczny z zewnątrz", czy da się na niego zalogować. Jeśli tak to hakerzy mają nas jak na widelcu.

Jeśli chcesz sprawdzić, czy Twój modem jest podatny na upubliczniony ostatnio atak, pozwalający na przejęcie nad nim kontroli przez cyber-przestępców, przetestuj go za pomocą naszego narzędzia. Sprawdzi ono, czy konfiguracja urządzenia jest odporna na opisywaną podatność, pozwalającą na zdalny dostęp z sieci internet, a także, czy Twój modem jest zabezpieczony hasłem innym.

- czytamy na stronie Orange.

Po drugie warto sprawdzić numery DNS wpisane w router - muszą być ogólnie znane, zaufane. Ja używam od dawna adresów Google 8.8.8.8 i 8.8.4.4 ale można wybrać własne adresy. Takie "sztywne" ustawienie adresów DNS uchroni nas przed atakiem. A przynajmniej znacznie utrudni życie przestępcom, uniemożliwi kradzież wyłącznie z użyciem internetu. Przyda się też aktualne oprogramowanie. Jednego z czytelników portalu Niebezpiecznik przed kradzieżą uchroniła przeglądarka Chrome, która zaalarmowała o problemach związanych z protokołem SSL. Można też skorzystać ze szczegółowego poradnika.

Opisana powyżej kradzież jest dowodem na to, że również w Polsce działają bardzo wyspecjalizowane grupy przestępców, które są w stanie zaatakować każdego z nas. Kradzież przez internet może niestety dotknąć niemal każdego.

Więcej o:
Komentarze (134)
Lepiej sprawdź, czy twój router jest dziurawy. On nie sprawdził i stracił 16 tys. zł
Zaloguj się
  • fortuna1972

    Oceniono 250 razy 192

    "Faktycznie jednak hakerzy przy pomocy hasła podanego im przez ofiarę dokonali przelewu na kwotę 16 tys. zł"
    Czyli potwierdza się stara prawda - najsłabszym ogniwem jest człowiek. Ale tytuł na czołówce z mądrym słowem "router" jest bardziej chwytliwy, nieprawdaż?

  • pragmatyk.com

    Oceniono 108 razy 102

    Kurde już myślałem że jestem bezpieczny a tu na liście modeli "ADSL Modem".
    No to teraz mam przechlapane ;-)

  • panibiedroniowa

    Oceniono 133 razy 87

    Jeleń!Znaleźli jelenia!.Z zapartym tchem wszystko przeczytałem i jeszcze raz stwierdzam:znaleźli JELENIA!

  • cubitusss

    Oceniono 89 razy 75

    Mam tez konto w mBanku i czy mi się tylko wydaje, ale wystarczyło przeczytać treść otrzymanego SMSa? Zawsze w nim jest opisane do czego posłuży otrzymany kod...

  • agatsu

    Oceniono 39 razy 39

    I zagrożone są wszystkie modemu model "ADSL modem"? Wszystkie wszystkie? No to mamy armagedon! ;)

  • slaskir

    Oceniono 84 razy 34

    Taka nowoczesna wersja numeru "na wnuczka". Ten pan okazał się, niestety, wyjątkowym tłumokiem.

  • elemir

    Oceniono 35 razy 31

    "man i the middle" czyli "człowiek and środek"

  • roger555

    Oceniono 45 razy 29

    Aż się normalnie zalogowałem żeby sprawdzić ile mi z mBanku wyfrunęło... I odetchnąłem, na szczęście "0"!!!

  • an_2_rez

    Oceniono 27 razy 15

    Dziwne. Jak ja próbuję przelać taką kwotę w jednym kawałku na inne konto, lub w sklepie robię zakupy kartą na dużą kwotę to za kilkadziesiąt sekund dzwoni do mnie ktoś z banku i upewnia się, że ten przelew czy płatność zrobiłem ja czy ktoś inny. To samo jak korzystam z karty za granicą. Też sprawdzają.
    A co do podatności routerów to chyba większość tplinków i wiele modeli d-linków ma takie problemy. Warto zaraz po zakupie zmienić firmware na jakiś alternatywny i dobrze skonfigurować. Tplinki są dobrze wspierane.

Aby ocenić zaloguj się lub zarejestrujX