W połowie stycznia w sieci pojawiły się doniesienia o nowej dziurze wykrytej w oprogramowaniu licznych routerów. Na liście modeli znajdują się m.in. "TD-W8901G","TD-8816", "TD-W8951ND", "TD-W8961ND", "D-Link DSL-2640R", "AirLive WT-2000ARM","Pentagram Cerberus P 6331-42", "ZTE ZXV10 W300" (sprzedawany przez Orange i T-Mobile). Bez żadnego uwierzytelnienia można dostać się do podstrony pozwalającej wygenerować backup konfiguracji urządzenia, a plik z takim backupem można zdekodować, wykradając z niego hasło.
Czym to się może skończyć? Odpowiedzią na to pytanie jest dramatyczna historia opisana przez portal Niebezpiecznik.pl
15 stycznia z konta mi zniknęło blisko 16.000 zł. Przelew został wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank), ale i jednoczesnie natychmiast został przelany na kolejne numery kont (osób, które jak się okazało, też były ofiarami). Cala procedura polegała, co mogę stwierdzić już po fakcie, na zamianie DNS-ów w routerze (podatny na atak AirLive WT-2000ARM). Potwierdzilem to, kiedy drugi raz, 2 dni temu, znów coś niepokojącego pojawiło się na stronie mBanku. Nie mogłem uruchomić nowej wersji strony banku. Caly czas przekierowywało mnie na starą wersję, co wydało mi się dziwne, a dodatkowo nie było już certyfikatu, a adres banku wyglądał tak: ssl-.www.mbank.com.pl
Jak wiadomo do wykonania przelewu z banku internetowego trzeba użyć kodu SMS. Jak zatem doszło do kradzieży? O tym za chwilę.
Wyjaśnijmy w jaki sposób zaatakowano router. Najpierw złodzieje wyszukują modele podatne na atak (robią to poprzez np. odpytanie specjalnej strony). Urządzenie musi mieć włączoną możliwość logowania się zdalnego.
Czasami zdarza się, że do rutera nie trzeba się nawet włamywać (użytkownik nie zmienił hasła domyślnego). W innym wypadku trzeba wykraść z urządzenia plik z backupem i zdekodować znajdujące się w nim hasło. Po uzyskaniu dostępu przestępcy zmieniają adresy serwerów DNS.
Czym jest DNS? To specjalny węzeł, który tłumaczy wywoływany adres strony na adres IP. Wystarczy więc, że przekieruje nas na sfałszowaną stronę banku i nic nie będziemy w stanie zauważyć.
Cyberprzestępcy postarają się, żeby ich strona wyglądała tak jak oryginał. Tym bardziej, że do przeprowadzenia skutecznego etapu niezbędny jest jeszcze jeden krok.
Jak wspominałem wcześniej bez hasła przesłanego SMS przestępcy nie mogliby ukraść z konta 16 tys. zł. Na poniższym zrzucie widać jednak, że wykazali się wyjątkową bezczelnością: przekonali ofiarę, że z uwagi na połączenie marek mBank i Multibank należy potwierdzić swój numer konta. A do tego konieczne jest przepisanie otrzymanego kodu (tak żeby bank miał pewność, że "my" to "my").
Fałszywa strona mBanku Fot. Niebezpiecznik.pl
Fot. Niebezpiecznik.pl
Faktycznie jednak hakerzy przy pomocy hasła podanego im przez ofiarę dokonali przelewu na kwotę 16 tys. zł. A konkretnie: dodali do listy "Odbiorców zdefiniowanych" osobę posiadającą konto w mBanku. Pokrzywdzony myślał, że potwierdza "autoryzację swojego numeru konta", a nie że dodaje kolejny przelew do listy przelewów zaufanych. Później przestępcy do przelewu nie potrzebowali już kodu SMS- mogliby wykonać nawet 10 operacji po 1600zł, oszukany mężczyzna by o tym nie wiedział. Gdyby ktoś zostawił w miejscu publicznym komputer z otwartą stroną banku można by dokonać dowolnych przelewów w ramach "zdefiniowanych odbiorców". Taki przelew odbywa się bez żadnej dodatkowej autoryzacji.
kiedy ofiara wpisywała login i hasło na podstawionej, kontrolowanej przez atakujących stronie, te same dane atakujący "odbijali" w tym samym czasie w stronę oficjalnej strony mBanku. Dzięki temu, zdefiniowanie "zaufanego odbiorcy", mimo iż przeprowadzone na podstawionej stronie, rzeczywiście miało miejsce na prawdziwym koncie klienta.
- wyjaśnia Niebezpiecznik.pl
Pomyślicie zapewne, że jeśli w przypadku ewentualnej kradzieży natychmiast zareagujecie bandytów da się szybko namierzyć? Niestety, portal rozwiewa te nadzieje:
Wedle relacji naszego czytelnika, przestępcy potrzebowali kilku godzin, aby wytransferować środki z jego konta. mBank, po złożeniu reklamacji przez klienta odpisał, że ma, cytując czytelnika, "związane ręce dopoki policja i prokuratura nie przedstawi swego stanowiska, a to może trwać od 3 do 12 miesięcy. Reklamacja zostaje zawieszona do momentu decyzji prokuratury".
Najskuteczniejszym sposobem na uniknięcie tego typu problemom jest zabezpieczenie naszej sieci. Pierwszym krokiem może być skorzystanie z bezpłatnego narzędzia udostępnionego przez Orange. Na stronie cert.orange.pl/modemscan dowiemy się, czy nasz router jest "widoczny z zewnątrz", czy da się na niego zalogować. Jeśli tak to hakerzy mają nas jak na widelcu.
Jeśli chcesz sprawdzić, czy Twój modem jest podatny na upubliczniony ostatnio atak, pozwalający na przejęcie nad nim kontroli przez cyber-przestępców, przetestuj go za pomocą naszego narzędzia. Sprawdzi ono, czy konfiguracja urządzenia jest odporna na opisywaną podatność, pozwalającą na zdalny dostęp z sieci internet, a także, czy Twój modem jest zabezpieczony hasłem innym.
- czytamy na stronie Orange.
Po drugie warto sprawdzić numery DNS wpisane w router - muszą być ogólnie znane, zaufane. Ja używam od dawna adresów Google 8.8.8.8 i 8.8.4.4 ale można wybrać własne adresy. Takie "sztywne" ustawienie adresów DNS uchroni nas przed atakiem. A przynajmniej znacznie utrudni życie przestępcom, uniemożliwi kradzież wyłącznie z użyciem internetu. Przyda się też aktualne oprogramowanie. Jednego z czytelników portalu Niebezpiecznik przed kradzieżą uchroniła przeglądarka Chrome, która zaalarmowała o problemach związanych z protokołem SSL. Można też skorzystać ze szczegółowego poradnika .
Opisana powyżej kradzież jest dowodem na to, że również w Polsce działają bardzo wyspecjalizowane grupy przestępców, które są w stanie zaatakować każdego z nas. Kradzież przez internet może niestety dotknąć niemal każdego.