Niezałatane routery D‑Link podatne na atak. Uważaj na fałszywe strony internetowe

Użytkownicy routerów firmy D-Link powinni w najbliższym czasie zwrócić szczególną uwagę na kwestię bezpieczeństwa podczas poruszania się po internecie. Jak donoszą specjaliści z firmy Bitdefender, niezałatane urządzenia są celem jednej z najnowszych kampanii przejmowania DNS. Przestępcy atakują routery, by manipulować ich ustawieniami, a w konsekwencji kierować nieświadomych użytkowników na fałszywe wersje stron internetowych.

Atak polega na modyfikacji ustawień DNS, czyli systemu "tłumaczeń" przyjaznych użytkownikowi adresów internetowych (takich, jak na przykład dobreprogramy.pl) na odpowiadające im adresy IP. Wprowadzenie fałszywych odniesień skutkuje wówczas wyświetleniem innej niż oczekiwana strony, mimo wpisania właściwego adresu w formie tekstowej. To nieco bardziej zaawansowana odmiana phishingu, która w zależności od sposobu realizacji często bywa nazywana "pharmingiem".

W praktyce, jeśli ustawienia routera zostaną zmodyfikowane przez atakujących, podczas korzystania z internetu użytkownik może nieświadomie odwiedzać fałszywe wersje stron (mimo poprawnie wyświetlającego się adresu na pasku w przeglądarce).

To może prowadzić do dalszych wyłudzeń, na przykład w sytuacji, gdy atakujący zdecydują się przekierowywać ofiarę na spreparowaną stronę logowania do banku. Takich przypadków było już wiele, a podobne opisywaliśmy między innymi przy okazji ostrzeżeń o fałszywych potwierdzeniach przelewów oraz ataków na "dopłatę złotówki".

Jak podaje Bitdefender, pierwsze dowody ataków na routery D-Linka pojawiły się pod koniec grudnia ubiegłego roku. Problematyczne okazały się wtedy urządzenia DSL, w tym modele D-Link DSL-2640B, D-Link DSL-2740R, D-Link DSL-2780B i D-Link DSL-526B, na co zwrócił uwagę badacz bezpieczeństwa Troy Mursch.

Kolejna fala ataków została zarejestrowana w lutym 2019 roku, a następna w drugiej połowie marca. Wówczas lista narażonych routerów została rozszerzona o modele ARG-W4, SSLink 260E, Secutech oraz TOTOLINK. Zależnie od przypadku, zaatakowane urządzenia kierowały zapytania DNS do serwerów obsługiwanych przez atakujących w Kanadzie lub Rosji.

Tego typu ataki podkreślają znaczenie utrzymywania należytej „higieny” urządzeń mających dostęp do Internetu – mówi Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken Systemy Antywirusowe. Luki w zabezpieczeniach D-Link, które wykorzystano w atakach, załatane zostały lata temu, ale wielu użytkowników nie zainstalowało wymaganych poprawek – prawdopodobnie z powodu braku świadomości problemu.

Jak podaje Bitdefender, producent już wiele lat temu załatał oprogramowanie opisywanych routerów, eliminując lukę pozwalającą atakującym na manipulacje. Aby uniknąć problemów, w tym przypadku wystarczy więc zainstalować najnowsze oprogramowanie dostępne dla danego urządzenia. Szczegółów należy szukać na stronie pomocy technicznej D-Link lub bezpośrednio w ustawieniach i wśród informacji o oprogramowaniu wymienionych routerów.