eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.pecetRoutery winne utracie pieniędzy przez użytkownikówRoutery winne utracie pieniędzy przez użytkowników
  • Data: 2014-02-05 23:47:54
    Temat: Routery winne utracie pieniędzy przez użytkowników
    Od: animka <a...@t...wp.pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Nie wiem co o tym myśleć i jak to sprawdzić czy mój router nie jest
    dziurawy. Od czasu do czasu doś w nim pyknie i to mnie zastanawia, bo
    dawniej tego nie było.

    http://pclab.pl/news56372.html

    W połowie stycznia podaliśmy listę modeli routerów Wi-Fi, które są
    podatne na ataki, a co za tym idzie - przez obecne w nich dziury dostęp
    do urządzenia mogą uzyskać niepowołane osoby. Sprawa jest o tyle
    poważna, że już zanotowano przypadki, w których ofiary utraciły niemałe
    pieniądze. Jak się zabezpieczyć przed tego typu atakami?

    Routery popularnych producentów podatne na ataki

    Serwis Niebezpiecznik.pl poruszył kolejny raz temat dziurawych routerów
    po tym, jak jeden z czytelników zwrócił uwagę na ten problem, przez
    który utracił w mBanku 16 tysięcy złotych. Jak można przeczytać w
    wiadomości udostępnionej na wspomnianym portalu, ,,przelew został
    wykonany na konto mbanku do realnej osoby (jak potwierdził [mi] bank),
    ale i jednocześnie natychmiast został przelany na kolejne numery kont
    (osób, które jak się okazało, też były ofiarami)." Jak się później
    okazało, przyczyną był router AirLive WT-2000ARM, który... znalazł się na
    opublikowanej dwa tygodnie temu rozpisce. Przestępcy dostali się do
    urządzenia i zmienili DNS-y. Przed logowaniem do banku użytkownik nie
    mógł dostać się na najnowszą wersję strony, a niepokojący okazał się nie
    tyle brak ,,kłódki" w pasku adresu, co sam adres (ssl-.www.mbank.com.pl).

    Jak przedstawia Niebezpiecznik.pl, atak polega najpierw na odnalezieniu
    wrażliwych na ten proceder routerów, potem przestępca próbuje dostać się
    za wszelką cenę do kopii zapasowej konfiguracji danego urządzenia.
    Umożliwia to firmware ZyNOS obecny m.in. we wspomnianym AirLive
    WT-2000ARM czy D-Link DSL-2640R albo Pentagram Cerberus P 6331-42. Jeśli
    wierzyć danym udostępnionym przez rodzimy serwis, aż przeszło milion
    routerów w Polsce może być dziurawych. Przejęcie kontroli nad routerem
    oznacza, że atakujący mogą podmienić strony, np. każdego banku i
    ,,odczytać" dane, jakimi użytkownicy posługują się przy logowaniu. Warto
    więc przed wykonaniem tej czynności sprawdzać, czy adres witryny
    internetowej rzeczywiście się zgadza.

    Przykładowy "dziurawy" router

    Źródło podaje, że transfer środków bez potrzeby SMS-owego potwierdzenia
    przelewów w mBanku był możliwy dzięki socjotechnice, a nie błędowi
    logicznemu odnotowanemu wcześniej z kolei w innym banku. Metoda jest
    prosta i, jak widać, łapie się na nią wielu - atakujący spróbował
    przekonać użytkownika konta do ustalenia odbiorcy zdefiniowanego, a co
    za tym idzie - wykonanie przelewu nie wymaga potwierdzenia SMS-em (o ile
    tak właśnie ustalimy, ale tutaj w grę wchodziła tylko ta opcja). Potem
    pieniądze mogły śmiało wypłynąć z rachunku...

    Jak się zabezpieczyć przed tymi atakami? Przede wszystkim zablokować
    ,,dostęp do panelu administracyjnego routera od strony internetu", a żeby
    sprawdzić czy taka opcja jest dostępna, można wykorzystać chociażby
    skaner Orange, sprawdzający podatność routerów na ataki omówione przez
    Niebezpiecznik.pl. Kolejnym sposobem może być ręczne wpisanie
    odpowiednich adresów serwerów w pececie tak, aby ten nie ściągał po
    połączeniu się z siecią ustawień DNS-ów z routera. To jednak nie daje
    pełnej gwarancji, ale zdecydowanie utrudnia dostęp atakującym do
    dziurawych routerów.

    --
    animka

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: