Nemmeno un mese fa, avevamo parlato di come tantissimi router fosse facilmente attaccabile da remoto sfruttando delle backdoor. Come prevedibile, gli hacker si sono subito messi all'opera, tanto che il polacco CERT (Polish Computer Emergency Response Team) ha segnalato un attacco su larga scala che sta colpendo gli utenti di online banking in Polonia.
In pratica i cyber-criminali stanno sfruttando le falle per cambiare i DNS dei router bersaglio e deviare gli utenti su finti siti di e-banking o prodursi in attacchi MITM (Man In The Middle).
Un ricercatore del CERT ha infatti dichiarato che "Una volta che le impostazioni dei DNS sono state cambiate su un router, tutte le richieste del network interno vengono dirottate su server pirata. Ovviamente non ci sono problemi in merito alla piattaforma in uso da parte della vittima, in quanto non c'è alcun bisogno di installare malware o simili da parte dell'attaccante."
Uno schema "semplificato" rende bene l'idea di come si possano correre grandi rischi anche senza avere il computer infetto.
Il cambio dei DNS non è ovviamente una novità nel mondo dell'hacking, ma è ora reso più facile dalle recenti scoperte che lasciano inermi milioni di router che non sono aggiornati nei loro firmware.
I ricercatori hanno rilevato come i bersagli preferiti siano gli utenti di home-banking, con gli attaccanti che cambiano e dirottano i DNS dei principali siti bancari, lasciando che i nomi di altri domini siano invece risolti in maniera del tutto normale.
Naturalmente molti di questi siti sono criptati tramite SSL usando il protocollo HTTPS, in teoria rendendo difficile impersonarne uno senza un certificato rilasciato da un CA (Certificate Authority), ma anche questo non è un problema, in quanto i malintenzionati spesso riescono ad usare tecniche che bypassano tali sistemi.
I ricercatori del CERT lo confermano: "Mentre i criminali intercettano le richieste non criptate, non fanno nient'altro che modificare i link da HTTPS a normale HTTP, aggiungendo una stringa SSL a un hostname inesistente, cercando di abbindolare gli utenti meno esperti in quanto simili host sono risolti da server DNS programmati ad hoc; mentre la connessione è dirottata su tali server, l'SSL è terminato prima che raggiunga l'utente. Il contenuto decriptato e quindi modificato viene così trasmesso al cliente".
"Tuttavia, nei casi esaminati," - proseguono i ricercatori - "gli hacker hanno prodotto certificati auto-firmati per il dominio thawte.com, causando messaggi di allerta da parte del browser per via della differenza tra i nomi del dominio e la mancanza di un certificato valido. Questo dovrebbe essere un chiaro segno di frode per la maggior parte degli utenti".
Ricordate, quindi, di prendere le dovute precauzioni per quello che riguarda il vostro router. In particolare, modificate nome utente di default e relativa password di accesso, aggiornate il firmware all'ultima release, prestate sempre attenzione ai messaggi di alert del browser e disabilitate l'impostazione di amministrazione remota del router, soprattutto per il WAN, in modo tale che esso sia configurabile solo accedendo dal network locale.