黑客利用DLink路由器重定向用户伪造巴西银行

黑客瞄准巴西的DLink DSL调制解调器路由器并利用它们将DNS设置更改为受攻击者控制的DNS服务器。然后，这允许他们将试图连接到他们的在线银行的用户重定向到伪造窃取用户帐户信息的银行网站。

根据Radware的研究，攻击者使用的攻击允许他们对某些DLink DSL调制解调器/路由器上的DNS设置执行远程未经身份验证的更改。这使他们可以轻松扫描并编写大量易受攻击路由器的更改脚本，以便他们的DNS设置指向受攻击者控制的DNS服务器。

当用户尝试连接到Internet上的站点时，他们首先查询DNS服务器以将主机名（如www.google.com）解析为IP地址（如172.217.11.36）。然后，您的计算机将连接到此IP地址并启动所需的连接。通过更改路由器上使用的名称服务器，用户将在不知情的情况下被重定向到虚假和恶意网站，并认为它们是合法且值得信任的。

此攻击中使用的恶意DNS服务器为69.162.89.185和198.50.222.136。这些服务器允许Banco de Brasil（www.bb.com.br）和Itau Unibanco（主机名www.itau.com.br）的在线银行被重定向到假克隆。

“这种方法的独特之处在于劫持是在没有用户互动的情况下进行的，” Radware的研究表明。早在2014年以及整个2015年和2016年，就已经报告了使用精心设计的网址和恶意广告活动试图从用户浏览器中更改DNS配置的网络钓鱼活动。2016年，一个名为RouterHunterBr 2.0的漏洞利用工具在互联网上发布并使用相同的恶意网址，但没有任何报告称Radware目前发现此工具的滥用行为。“

当用户访问虚假网站时，它们看起来几乎与原始银行网站相同。但是，在虚假网站上，他们会被要求提供银行代理机构号码，帐号，八位数密码，手机号码，卡片密码和CABB号码。然后，攻击者会收集此信息。

可能出现问题的唯一迹象是浏览器将指示它是“不安全”，如上图所示，或者将出现证书警告，如下所示。

正如您所看到的，这种类型的攻击非常危险，因为没有网络钓鱼电子邮件，也没有用户计算机上的更改。相反，一切都在路由器本身完成，所以对用户来说一切都很好。

“在用户完全不知道变化的意义上，攻击是隐蔽的。劫持工作无需在用户的浏览器中制作或更改URL，”Radware在报告中进一步说明。“用户可以使用任何浏览器和他/她的常规快捷方式，用户可以手动输入URL，甚至可以通过智能手机或平板电脑等移动设备使用。用户仍然会被发送到恶意网站而不是到他们要求的网站，劫持有效地在网关层面工作。“

在了解了这个新的广告系列后，Radware通知银行，所有恶意网站都已经脱机。

对于可能担心自己是此类攻击的受害者的用户，Radware建议您使用 http://www.whatsmydnsserver.com/ 站点检查路由器配置的DNS服务器。然后，您可以确定是否存在看起来可疑的服务器，因为它们不会由您的Internet服务提供商拥有或分配。