Ataki na użytkowników bankowości internetowej przybierają różne formy – czasem wystarczy otworzyć plik w wiadomości e-mail, aby stać się ofiarą złośliwego oprogramowania. Okazuje się, że nawet jeśli bardzo dbamy o zdrowie naszego komputera to zagrożenie może przyjść z nieoczekiwanej strony. Przestępcy mogą włamać się do domowego routera i w ten sposób skierować nas na podrobioną stronę banku.
Kilka tygodniu temu specjalistyczny serwis Niebezpiecznik.pl poinformował o odkryciu luki w wielu modelach popularnych na polskim rynku routerów. Router to niewielka skrzynka, która pozwala rozdzielić dostęp do sieci pomiędzy kilka urządzeń i cieszyć się w domu lub biurze bezprzewodowym internetem. Aby sprzęt mógł działać, musi posiadać odpowiednie oprogramowanie wgrane przez jego producenta. Właśnie ten element (tzw. firmware) w niektórych modelach urządzeń m.in. TP-Link, Pentagram i D-Link zawiera błąd, który pozwala włamywaczom na dostanie się do panelu administracyjnego.
Fałszywe drogowskazy, czyli podmiana DNS
Gdy w przeglądarce internetowej wpisujemy adres jakiejś strony, zanim pobierzemy jej zawartość oprogramowanie musi poznać adres serwera przechowującego witrynę. „Tłumaczeniem” nazw (np. bankx.pl) na adresy IP zajmują się tzw. serwery DNS. Pełnią one rolę drogowskazów – pokazują, który komputer odpowiada za daną domenę.
Błąd w oprogramowaniu routerów umożliwia osobom z zewnątrz (łączącym się z sieci) poznać hasło administratora urządzenia. To z kolei pozwala podmienić w ustawieniach naszego sieciowego sprzętu adresy wykorzystywanych serwerów DNS. Jeśli włamywacz zdoła tego dokonać, to ma możliwość podstawienia kontrolowanych przez siebie serwerów DNS i, w konsekwencji, przekierowania nas w dowolne miejsce, gdy korzystamy np. z przeglądarki.
Router w służbie przestępców
Jak donosi Niebezpiecznik.pl, jeden z klientów mBanku stracił w ten sposób znaczącą sumę. Po tym, jak do jego routera dobrali się włamywacze próbował on wejść do serwisu bankowości internetowej. Dzięki kontrolowaniu serwerów DNS złoczyńcy mogli skierować go na podrobioną stronę. Tam, po wpisaniu danych potrzebnych do logowania, wyświetlony został komunikat o rzekomej zmianie formatu numeracji konta. Złodzieje sprytnie wykorzystali fakt, że bank w ostatnim czasie łączył się z Multibankiem i tym uzasadnili konieczność zatwierdzenia operacji jednorazowym SMS-em.
W tym samym czasie przestępcy byli już prawdopodobnie zalogowani na prawdziwej stronie banku (wykorzystując przechwycony login i hasło). Zdefiniowali oni zaufany szablon przelewu, a prawdziwy właściciel konta otrzymał jednorazowe hasło SMS. Wpisując je na podrobionej stronie, faktycznie przekazał hasło przestępcom. Dalszego ciągu zdarzeń można się domyślić – z rachunku klienta wyprowadzono pieniądze. Warto podkreślić, że w podobny sposób można oszukać użytkowników różnych instytucji oferujących usługi w internecie – nie tylko banków.
Jak się zabezpieczyć?
Opisany schemat oszustwa nie był doskonały – podrobiona strona logowania nie była wyświetlana w bezpiecznym połączeniu. Nie było zatem widocznego symbolu kłódki i innych oznaczeń, na które powinniśmy zwracać uwagę (np. zielone pole w pasku adresu z podaną nazwą banku). Prośba o zatwierdzenie zmiany numeru konta też powinna wzbudzić podejrzenia – bank informował klientów, że żadnych zmian nie będzie dokonywał. Niemniej jednak mniej uważny użytkownik może zignorować znaki ostrzegawcze, zwłaszcza że wydawałoby się, iż samodzielne wpisanie adresu banku w przeglądarce, w przeciwieństwie np. do klikania w linki w wiadomościach pocztowych, powinno uchronić nas przed kłopotami.
Niewykluczone, że problemy z oprogramowaniem routerów zostaną wkrótce wykorzystane przez przestępców na szerszą skalę. Dlatego należy upewnić się, że nasz router nie pozwala na zalogowanie się do panelu administracyjnego z zewnątrz (z internetu). Można to sprawdzić za pomocą narzędzia przygotowanego przez firmę Orange. Warto także pamiętać o sprawdzaniu, czy strona banku jest wyświetlana w bezpiecznym połączeniu oraz czy certyfikat SSL został wystawiony odpowiedniej instytucji – nie wolno ignorować jakichkolwiek ostrzeżeń prezentowanych przez przeglądarkę.
// ‚+’'+e+''+''); // ]]>
m.kisiel at bankier dot pl
