В пoслeднee врeмя злoумышлeнники aктивнo испoльзуют пoпулярныe рoутeры DLink для вoрoвствa бaнкoвскиx дaнныx. Xaкeры пeрeнaстрaивaют устрoйствa, мeняя DNS и тaким oбрaзoм пeрeнaпрaвляют пoльзoвaтeлeй нa собственные сервера.
Когда пользователь пользуется онлайн-банкингом, заражённый роутер переводит их на похожие сайты, которыми заведуют мошенники. Вредоносные сайты не отличить от настоящих, единственное, что их выдаёт – это надпись: «Незащищенное соединение» в адресной строке браузера. Но много ли пользователей обратят на это внимание? На таком сайте клиент по привычке указывает данные о номере карты, телефона, PIN-код и номер CVV. Далее его счёт моментально опустошают.
Исследователи Radware обнаружили, что большинство роутеров не защищены от такого вмешательства. Схема действия такова: DNS-сервер меняет доменное имя и подключается к «нужному» IP-адресу и инициирует соединение. После этого пользователь оказывается на поддельных сайтах.
В этом случае антивирусники бессильны и жертва не получит никаких предупреждений о взломе. Не поможет и использование разных браузеров или устройств для подключения. Всё зло сидит в роутере и пока счёт жертвы не опустеет, она, скорей всего, ничего не заподозрит.
Производители уже получили детальное описание проблемы и работают над устранением бреши в безопасности.
Источник: bleepingcomputer.com