网络安全：在野外路由器漏洞利用程序将不知情的用户发送到假的银行网站

一名安全研究人员周五表示，黑客一直利用DLink调制解调器路由器中的漏洞将人们送到虚假的银行网站，试图窃取他们的登录凭据。 该漏洞适用于过去两年未修补的DLink DSL-2740R，DSL-2640B，DSL-2780B，DSL-2730B和DSL-526B型号。正如披露描述在这里，这里，这里，这里，并在这里，该漏洞允许攻击者远程更改连接的计算机使用的域名转换为IP地址的DNS服务器。 根据安全公司Radware 周五早间发布的一份咨询报告，黑客一直在利用此漏洞向派遣人员试图访问两家巴西银行网站–Banco de Brasil的www.bb.com.br和Unibanco的www.itau.com.br-恶意服务器而不是金融机构运营的服务器。在咨询中，Radware研究员Pascal Geenens写道：

在用户完全不知道变化的意义上，攻击是隐蔽的。劫持工作无需在用户的浏览器中制作或更改URL。用户可以使用任何浏览器和他/她的常规快捷方式，他或她可以手动输入URL，甚至可以从iPhone，iPad，Android手机或平板电脑等移动设备上使用它。他或她仍将被发送到恶意网站而不是他们请求的网站，因此劫持在网关级别有效。

Geenens告诉Ars，Banco de Brasil的网站可以通过未加密和未经身份验证的HTTP连接进行访问，这可以防止访问者收到重定向网站恶意的任何警告。使用更安全的HTTPS协议进行连接的人收到来自浏览器的警告，即数字证书是自签名的，但他们可能已被欺骗点击选项接受它。除了自签名证书，该网站是一个令人信服的真实网站恶搞。如果用户已登录，则会将其站点凭据发送给广告系列后面的黑客。欺骗站点是由托管恶意DNS服务器的相同IP地址提供的。 试图访问Unibanco的人被重定向到与恶意DNS服务器和假Banco de Brasil站点在同一IP地址托管的页面。然而，该页面实际上并没有欺骗银行的网站，这表明它可能是一个尚未建立的临时登陆页面。在Geenens报告恶意DNS服务器和欺骗站点到服务器主机OVH之后，加利福尼亚时间周五早上关闭了恶意操作。由于恶意DNS服务器无法运行，连接到受感染DLink设备的人可能无法使用Internet，直到他们更改路由器上的DNS服务器设置或重新配置其连接设备以使用备用DNS服务器。 这是利用路由器的最新黑客攻击活动。今年5月，研究人员发现了可能是一种不相关的攻击，这种攻击感染了各种制造商生产的约50万台消费级路由器。联邦调查局警告说，VPNFilter，作为高度先进的路由器恶意软件已经被称为，是黑客为俄罗斯政府工作的工作。 在2016年，称为DNSChanger的恶意软件导致路由器运行未修补的固件或使用弱管理密码进行保护以使用恶意DNS服务器。连接的计算机将连接到虚假站点。但在这种情况下，路由器是从家中重新配置的，而不是从Internet远程重新配置的。 防止路由器攻击的最佳方法是确保设备运行最新的固件并使用强密码进行保护。一个良好的纵深防御移动也是配置连接的每个设备使用可信DNS服务器，例如来自Cloudflare的1.1.1.1或来自Google的8.8.8.8。这些设置在连接设备的操作系统中进行，将覆盖在路由器中进行的任何设置。