17/09/2018, 19:59

Chiếm quyền kiểm soát bộ định tuyến thông qua các trang web lừa đảo

Các nhà nghiên cứu đã theo dõi và phát hiện các cuộc tấn công từ tội phạm công nghệ cao nhằm chiếm quyền kiểm soát các bộ định tuyến của người dùng tại Brazil nhằm tìm ra những trang web lừa đảo liên kết với chúng. Các cuộc tấn công đầu tiên đã được nghiên cứu bởi Kaspersky Lab vào tuần ...

Các nhà nghiên cứu đã theo dõi và phát hiện các cuộc tấn công từ tội phạm công nghệ cao nhằm chiếm quyền kiểm soát các bộ định tuyến của người dùng tại Brazil nhằm tìm ra những trang web lừa đảo liên kết với chúng.

Chiếm quyền kiểm soát bộ định tuyến thông qua các trang web lừa đảo

Các cuộc tấn công đầu tiên đã được nghiên cứu bởi Kaspersky Lab vào tuần trước. Hãng bảo mật tìm ra các thư điện tử chứa các hình ảnh nhằm lừa đảo người dùng. Các liên kết chứa trong tin nhắn dẫn đến một trang web có nội dung người lớn.

Các trang web bị nghi ngờ chứa một số đoạn script được thiết kế nhằm xâm nhập vào Administration Panel của router và thay đổi các thiết lập DNS nhằm chuyến hướng nạn nhân đến những trang web ngân hàng lừa đảo. Để có thể đoạt quyền truy cập vào Administration Panel, mã độc sử dụng tên tài khoản và mật khẩu như “admin/admin”, “root/root” hay “admin/gvt12345” (thông tin đăng nhập mặc định trên các router).

Mã script sẽ tiếp tục điều khiển các thiết bị mạng của bạn như [địa chỉ IP router].rebootinfo.cgi hay [địa chỉ IP router].dnscfg.cgi?. Mỗi script bao gồm các lệnh thay đổi máy chủ DNS chính và phụ. Nếu Bạn sử dụng thông tin đăng nhập vào router mặc định, chúng sẽ thâm nhập ngầm và bạn sẽ không bao giờ có thể biết mình bị tấn công. Nếu bạn không sử dụng thông tin mặc định, trang web lừa đảo sẽ hiển thị bảng yêu cầu bạn nhập bằng tay. Đó là cách mà những kẻ lừa đảo khai thác bạn.

Khi Kaspersky tiến hành các phân tích của mình, các liên kết độc hại đã được click vào 3.300 lần chỉ trong ba ngày. Điều không ngạc nhiên là hầu hết nạn nhân đều ở Brazil, nhưng cũng có một số được xác định tại Hoa Kỳ, Trung Quốc, Canada và Mexico.

Vào thứ năm tuần trước, Sucuri đã đăng tải phân tích về các cuộc tấn công, thay vì sử dụng mạng xã hội để thu hút người dùng đến các trang web lưu trữ mã độc iFrames thì tin tặc tấn công và sử dụng các trang web phổ biến như báo điện tử và thiết đặt chúng xâm nhập vào router rồi thay đổi cài đặt DNS. Cách đơn giản nhất để giải quyết vấn đề này là thay đổi tên người dùng và mật khẩu mặc định trên router.

Vào năm 2011 và 2012, 10 triệu modem DSL đã bị xâm nhập tại Brazil và cài đặt DNS bị thay đổi để chuyển hướng đến các trang web lừa đảo. Kết nối không dây không bảo mật cũng là vấn đề lớn tại Brazil. Chỉ sau World Cup được tổ chức tại quốc gia này, các nhà nghiên cứu Kaspersky đã phân tích 5000 điểm truy cập Wifi tại Sao Paulo và 26% trong số chúng đều hoàn toàn mở và không sử dụng bất kì biện pháp mã hóa nào. 37% trong số đó dễ bị tổn thương bởi kiểu tấn công man-in-the-middle.

Securityweek.com

0