Lepiej sprawdź, czy twój router jest dziurawy. On nie sprawdził i stracił 16 tys. zł

O atakach cyberprzestępców zwykliśmy myśleć jak o ciężkiej chorobie albo wypadku samochodowym: "Przecież mnie to nie dotyczy". Ten mężczyzna zapewne też tak myślał, niestety miał ogromnego pecha. Z jego konta w mBanku wyparowała olbrzymia kwota.

W połowie stycznia w sieci pojawiły się doniesienia o nowej dziurze wykrytej w oprogramowaniu licznych routerów. Na liście modeli znajdują się m.in. "TD-W8901G","TD-8816", "TD-W8951ND", "TD-W8961ND", "D-Link DSL-2640R", "AirLive WT-2000ARM","Pentagram Cerberus P 6331-42", "ZTE ZXV10 W300" (sprzedawany przez Orange i T-Mobile). Bez żadnego uwierzytelnienia można dostać się do podstrony pozwalającej wygenerować backup konfiguracji urządzenia, a plik z takim backupem można zdekodować, wykradając z niego hasło.

Czym to się może skończyć? Odpowiedzią na to pytanie jest dramatyczna historia opisana przez portal Niebezpiecznik.pl

15 stycznia z konta mi zniknęło blisko 16.000 zł. Przelew został wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank), ale i jednoczesnie natychmiast został przelany na kolejne numery kont (osób, które jak się okazało, też były ofiarami). Cala procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów w routerze (podatny na atak AirLive WT-2000ARM). Potwierdzilem to, kiedy drugi raz, 2 dni temu, znów coś niepokojącego pojawiło się na stronie mBanku. Nie mogłem uruchomić nowej wersji strony banku. Caly czas przekierowywało mnie na starą wersję, co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał tak: ssl-.www.mbank.com.pl

Jak wiadomo do wykonania przelewu z banku internetowego trzeba użyć kodu SMS. Jak zatem doszło do kradzieży? O tym za chwilę.

Wyjaśnijmy w jaki sposób zaatakowano router. Najpierw złodzieje wyszukują modele podatne na atak (robią to poprzez np. odpytanie specjalnej strony). Urządzenie musi mieć włączoną możliwość logowania się zdalnego.

Czasami zdarza się, że do rutera nie trzeba się nawet włamywać (użytkownik nie zmienił hasła domyślnego). W innym wypadku trzeba wykraść z urządzenia plik z backupem i zdekodować znajdujące się w nim hasło. Po uzyskaniu dostępu przestępcy zmieniają adresy serwerów DNS.

Czym jest DNS? To specjalny węzeł, który tłumaczy wywoływany adres strony na adres IP. Wystarczy więc, że przekieruje nas na sfałszowaną stronę banku i nic nie będziemy w stanie zauważyć.

Cyberprzestępcy postarają się, żeby ich strona wyglądała tak jak oryginał. Tym bardziej, że do przeprowadzenia skutecznego etapu niezbędny jest jeszcze jeden krok.

Jak wspominałem wcześniej bez hasła przesłanego SMS przestępcy nie mogliby ukraść z konta 16 tys. zł. Na poniższym zrzucie widać jednak, że wykazali się wyjątkową bezczelnością: przekonali ofiarę, że z uwagi na połączenie marek mBank i Multibank należy potwierdzić swój numer konta. A do tego konieczne jest przepisanie otrzymanego kodu (tak żeby bank miał pewność, że "my" to "my").

Niebezpiecznik

Fot. Niebezpiecznik.pl

 

Faktycznie jednak hakerzy przy pomocy hasła podanego im przez ofiarę dokonali przelewu na kwotę 16 tys. zł. A konkretnie: dodali do listy "Odbiorców zdefiniowanych" osobę posiadającą konto w mBanku. Pokrzywdzony myślał, że potwierdza "autoryzację swojego numeru konta", a nie że dodaje kolejny przelew do listy przelewów zaufanych. Później przestępcy do przelewu nie potrzebowali już kodu SMS- mogliby wykonać nawet 10 operacji po 1600zł, oszukany mężczyzna by o tym nie wiedział. Gdyby ktoś zostawił w miejscu publicznym komputer z otwartą stroną banku można by dokonać dowolnych przelewów w ramach "zdefiniowanych odbiorców". Taki przelew odbywa się bez żadnej dodatkowej autoryzacji.

kiedy ofiara wpisywała login i hasło na podstawionej, kontrolowanej przez atakujących stronie, te same dane atakujący "odbijali? w tym samym czasie w stronę oficjalnej strony mBanku. Dzięki temu, zdefiniowanie "zaufanego odbiorcy?, mimo iż przeprowadzone na podstawionej stronie, rzeczywiście miało miejsce na prawdziwym koncie klienta.

- wyjaśnia Niebezpiecznik.pl

Pomyślicie zapewne, że jeśli w przypadku ewentualnej kradzieży natychmiast zareagujecie bandytów da się szybko namierzyć? Niestety, portal rozwiewa te nadzieje:

Wedle relacji naszego czytelnika, przestępcy potrzebowali kilku godzin, aby wytransferować środki z jego konta. mBank, po złożeniu reklamacji przez klienta odpisał, że ma, cytując czytelnika, "związane ręce dopoki policja i prokuratura nie przedstawi swego stanowiska, a to może trwać od 3 do 12 miesięcy. Reklamacja zostaje zawieszona do momentu decyzji prokuratury?.

Najskuteczniejszym sposobem na uniknięcie tego typu problemom jest zabezpieczenie naszej sieci. Pierwszym krokiem może być skorzystanie z bezpłatnego narzędzia udostępnionego przez Orange. Na stronie cert.orange.pl/modemscan dowiemy się, czy nasz router jest "widoczny z zewnątrz", czy da się na niego zalogować. Jeśli tak to hakerzy mają nas jak na widelcu.

Jeśli chcesz sprawdzić, czy Twój modem jest podatny na upubliczniony ostatnio atak, pozwalający na przejęcie nad nim kontroli przez cyber-przestępców, przetestuj go za pomocą naszego narzędzia. Sprawdzi ono, czy konfiguracja urządzenia jest odporna na opisywaną podatność, pozwalającą na zdalny dostęp z sieci internet, a także, czy Twój modem jest zabezpieczony hasłem innym.

- czytamy na stronie Orange.

Po drugie warto sprawdzić numery DNS wpisane w router - muszą być ogólnie znane, zaufane. Ja używam od dawna adresów Google 8.8.8.8 i 8.8.4.4 ale można wybrać własne adresy. Takie "sztywne" ustawienie adresów DNS uchroni nas przed atakiem. A przynajmniej znacznie utrudni życie przestępcom, uniemożliwi kradzież wyłącznie z użyciem internetu. Przyda się też aktualne oprogramowanie. Jednego z czytelników portalu Niebezpiecznik przed kradzieżą uchroniła przeglądarka Chrome, która zaalarmowała o problemach związanych z protokołem SSL. Można też skorzystać ze szczegółowego poradnika.

Opisana powyżej kradzież jest dowodem na to, że również w Polsce działają bardzo wyspecjalizowane grupy przestępców, które są w stanie zaatakować każdego z nas. Kradzież przez internet może niestety dotknąć niemal każdego.

Więcej o:
Komentarze (134)
Lepiej sprawdź, czy twój router jest dziurawy. On nie sprawdził i stracił 16 tys. zł
Zaloguj się
  • shade69

    0

    Chciałbyś dowiedzieć się w jakim miejscu jest właśnie twoja koleżanka? Wejdź tu: gg.gg/2sylq i namierz każdy numer. Wystarczy wpisac numer i po sekundzie na mapie pojawi się punkt w którym jest telefon! Naprawdę działa! Sprawdźcie sami!

  • seth-gecko

    0

    akurat router nie jest tu największym winowajcom ... a jeśli ktoś się obawia się o to czy jego router jest bezpieczny lub ma problemy z konfiguracją to lepiej wybierać te z wyższej półki jak Asus a nie masówkę wypychaną na promocjach

  • Dawid Bratek

    0

    Skorzystałem z narzędzia i wyświetlił się komunikat "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu". Ale tak w ogóle to łatwo paść ofiarą oszustów. Facet nie miał szczęścia. Ciekawe, ile jeszcze osób zostało w ten sposób obrabowanych. Polecam artykuł o tym, jak się zabezpieczać przed internetowymi przestępcami i wyłudzaczami naszych danych: www.facebook.com/photo.php?fbid=644601762265338&set=a.174037092655143.43965.172979386094247&type=1&theater

  • m.sztukin

    0

    www.orange.pl/kid,4002313851,id,4003667242,title,ZTE-ZXV10-W300-wylaczanie-zdalnego-dostepu-do-konfiguracji-,article.html

  • m.sztukin

    0

    Uff! Udało mi się zmienić ustawienia mojego routera.
    www.orange.pl/kid,4002313851,id,4003667242,title,ZTE-ZXV10-W300-wylaczanie-zdalnego-dostepu-do-konfiguracji-,article.html

  • ncc74656

    0

    "Opisana powyżej kradzież jest dowodem na to, że również w Polsce działają bardzo wyspecjalizowane grupy hakerów," nie prawda... bardziej wyspecjalizowane masy idiotów i ignorantów.

  • feta_mina

    0

    ŁAMIĄCA WIADOMOŚĆ! SPRAWDZAJCIE ROUTERY! ON NIE SPRAWDZIŁ - i tutaj zdjęcie Michnika w jarmułce (to wystarczy za komentarz). :D

  • norton2005

    Oceniono 1 raz 1

    mBank kiedyś na moim koncie bez mojej wiedzy skasował wymaganie potwierdzenia hasłem SMS dla zdefiniowanych odbiorców! Na moją interwencję odpowiedzieli, że takie mają ustawienia domyślne i jak chcę to sam mogę sobie to pozmieniać. Straciłem kilka godzin na tą operację, ale nie wiem kiedy znowu mi sami to znowu skasują.

  • mario.wario

    Oceniono 1 raz 1

    No sorry, ale radzę olać mBank, wielokrotnie się z nimi kontaktowałem i pisałem, że ich system logowania do banku (pełnym loginem i hasłem) jest już przestarzały i dosłownie niebezpieczny.
    By poznać login i hasło potrzeba byle jakiego keyloggera, których jest mnóstwo.
    Po uzyskaniu loginu i hasła, potrzeba tylko komórki właściciela i tutaj jest NIEBEZPIECZEŃSTWO dla zdrowia i życia użytkownika tego banku, bo na stronie po zalogowaniu są PEŁNE DANE UŻYTKOWNIKA, wystarczy go tylko namierzyć i odebrać komórke!!!
    I albo dostanie się mega wpi...ol, albo straci życie! Gość nie będzie wiedział nawet dlaczego odebrano mu komórke, będzie sporo czasu na czyszczenie konta!
    MBank olał to co im tłukłem przez infolinie, żądając moich danych do przetwarzania! To jakiś absurd!!!
    Każdy inny bank, już nie prosi o pełne hasło! Dlatego jest się praktycznie odpornym na keyloggery!

Aby ocenić zaloguj się lub zarejestrujX