image

Cybercriminelen wijzigen DNS-servers routers via webaanval

woensdag 3 september 2014, 10:16 door Redactie, 3 reacties

Braziliaanse cybercriminelen gebruiken een combinatie van e-mail, social engeering en kwaadaardige scripts om de DNS-servers van routers te wijzigen, zodat gebruikers bij het bezoeken van hun bank op een phishingpagina uitkomen. De aanval begint met een e-mail die een link bevat.

Volgens het bericht wordt de ontvanger van de e-mail door zijn partner bedrogen en zijn hier foto's van online te vinden. De link in de e-mail wijst naar een website vol met pornofoto's. In de achtergrond draait deze website verschillende kwaadaardige scripts die op de router van de gebruiker proberen in te loggen. Dit wordt gedaan via standaard gebruikersnamen en wachtwoorden.

Als de gebruiker geen standaard inloggegevens gebruikt verschijnt er een pop-up waarin om deze gegevens wordt gevraagd. Vult de gebruiker deze gegevens in of worden er standaard gebruikersnamen en wachtwoorden gebruikt, dan wijzigen de scripts de DNS-instellingen van de router. Deze aanpassingen zorgen ervoor dat de websites van grote Braziliaanse banken naar de websites van de criminelen achter de aanval wijzen.

Doordat de e-mails in de e-mailcampagne verkorte URL's gebruiken is het mogelijk om te zien hoeveel mensen ook daadwerkelijk op de link in het bericht hebben geklikt. In drie dagen werden er 3300 clicks gemeten, zo meldt het Russische anti-virusbedrijf Kaspersky Lab. Het is echter onbekend van hoeveel routers de DNS-instellingen zijn aangepast. Om zich te beschermen krijgen gebruikers het advies om het wachtwoord van hun thuisrouter te wijzigen en de inloggegevens hiervoor nooit in te vullen als een website hierom vraagt.

Reacties (3)
03-09-2014, 10:47 door Briolet
Ik heb geen idee of je in alle routers de dns instellingen kunt aanpassen. Bij Ziggo kunnen klanten de dns servers in elk geval niet zelf aanpassen en krijgt de router ze altijd van de Ziggo dhcp servers.

Het is wel zo dat de mensen die op die links klikt, globaal dezelfde groep is die hun inlogwachtwoorden op default laat staan.
03-09-2014, 13:12 door Anoniem
Zover ik weet zijn in Nederland de modems van Ziggo, online.nl en Telfort allemaal voorzien van default passwords. Met andere woorden, ook zij zijn kwetsbaar. Heel moeilijk is het ook weet niet, met 10 regels JavaScript ben je er al:

Technische uitleg kwam ik laatst hier tegen:
http://www.basvandorst.nl/post/94454357562/the-risk-of-default-passwords-on-isp-modems

Oplossing is dus ABE installeren op FF
03-09-2014, 23:22 door Anoniem
Elke modem/router moet vd fabrikant danwel vd internetprovider een eigen ID en wachtwoord krijgen,dit moet wettelijk bepaald worden.De verantwoordelijk hiervoor wordt nu bij de gebruiker gelegd,die veelal helemaal niet in de materie thuis is.De meeste modems en routers worden door de internetprovider in bruikleen gegeven, het woord zegt het al,je leent hem,dus de internetprovider is en blijft de eigenaar! Ook firmware-updates zouden gewoon door de internetprovider moeten worden uitgevoerd,automatisch via internet of anders door een bevoegde technicus van of namens de internetprovider.De gebruiker heeft over het algemeen al genoeg moeite met de beveiliging en up to date houden van zn eigen pc's.Laat de consumentenbond nou eens echt opkomen voor de internet/pcgebruikers en proberen dit wettelijk geregeld te krijgen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.