摘要:買來路由器后的第一步,你是否會先更改設備的初始密碼?如果你還沒有這么做,那現在就要小心了。據外媒報道,已經有網絡釣魚攻擊者們向人們濫發附帶危險鏈接的垃圾郵件。當受害人點擊之后,它就會在背地里篡改路由器的設置,并將之用于收集人們的網銀憑證或其它敏感數據!
位于加州Sunnyvale的安全公司Proofpoint表示,該公司最近探測到了一批持續了四周的垃圾郵件,而它們的接收方,則主是一些位于巴西的組織機構和普通網民。
該郵件將自己偽裝成是由當地最大的網絡服務提供商(ISP)所發出,并且“警告”收件人其有未支付的賬單。但事實上,所謂的鏈接卻是用來破解他們的路由設備的。
據Proofpoint所述,該鏈接所指向的網頁,也模仿了電信運營商的界面。
但是登錄頁面上所包含的代碼,卻引起了安全專家們的注意,因為它會偽裝并試圖悄悄地執行跨站請求,并對兩款已知有漏洞的路由器展開攻擊(UT斯達康和Tp-Link)。
隨后,該惡意頁面會調用隱藏的內聯框架(iframes),并通過已知的初始賬戶列表來記錄受害人路由器管理頁面的登錄憑證。
如果得逞,攻擊者更會篡改受害人路由器上的域名解析服務器(DNS)。為了掩人耳目,它會把主DNS服務器地址寫成自己的,而把輔助DNS服務器地址寫成Google的(8.8.8.8)。
此后,受害人的流量就會徹底被攻擊者所劫持,也就是任何網站都會被重定向。如此一來,攻擊者就可以更加肆意地通過偽造站點來騙取受害人在合法網站上的登錄憑證。
當然,倘若出于種種原因,攻擊者的DNS服務器沒能響應,那么受害人的路由器仍可正常使用,并在很長一段時間內不被察覺。此外,這類攻擊最危險的地方在于,它可以完全繞過殺毒軟件和其它安全工具的監管。
雖然許多現代路由器都已經內置了可防止此類攻擊的策略(比如CSRF令牌),但是隨著新漏洞的不斷涌現,安全專家們仍建議我們及時重置路由器并更改初始密碼。
如果你想要了解有關這一攻擊的更多細節,還請移步至Proofpoint博客作進一步了解。
京公網安備 11010502049343號