黑客针对巴西银行进行DNS劫持 将用户重定向到伪造的银行网站

  • A+
所属分类:网络安全新闻

据CE安全研究人员报道,有了这个伎俩,网络犯罪分子就会窃取银行账户的登录凭据。

攻击者更改了将网络设备指向他们控制的DNS服务器的DNS设置,在此活动中,专家观察到骗子使用两个DNS服务器,69.162.89.185和198.50.222.136。这两个DNS服务器将Banco de Brasil(www.bb.com.br)和Itau Unibanco(主机名www.itau.com.br)的逻辑地址解析为虚假克隆。

“自6月8日以来,该研究中心一直在跟踪针对巴西DLink DSL调制解调器路由器的恶意活动。通过可追溯到2015年的旧漏洞,恶意代理试图修改巴西居民路由器中的DNS服务器设置,通过恶意DNS服务器重定向所有DNS请求。“读取Radware发布的分析。

“恶意DNS服务器正在劫持对Banco de Brasil(www.bb.com.br)主机名的请求,并重定向到托管在同一恶意DNS服务器上的虚假克隆网站,该服务器与合法的Banco de Brasil无关。网站。”

黑客正在使用可追溯到2015年的旧漏洞,它们可以在某些型号的DLink DSL设备上运行,它们只需要在线运行易受攻击的路由器并更改其DNS设置。

专家强调,劫持是在没有任何用户交互的情况下进行的。

“在用户完全不知道变化的意义上,攻击是阴险的。劫持工作无需在用户的浏览器中制作或更改URL。用户可以使用任何浏览器和他/她的常规快捷方式,用户可以手动输入URL,甚至可以从移动设备(如智能手机或平板电脑)使用它。“阅读Radware发布的警报。

“用户仍然会被发送到恶意网站,而不是被发送到他们要求的网站,并且劫持有效地在网关级别上运行。”

攻击者使用精心设计的网址和恶意广告系列进行网上诱骗广告系列,尝试从用户的浏览器中更改DNS配置。这种类型的攻击并不新鲜,黑客自2014年以来一直在使用类似的技术,2016年,一个名为RouterHunterBr 2.0的漏洞利用工具在线发布并使用了相同的恶意URL,但Radware目前还没有发现此工具的滥用行为。

自6月12日以来,Radware已经记录了几次针对旧D-Link DSL路由器漏洞的感染尝试。

黑客针对巴西银行进行DNS劫持 将用户重定向到伪造的银行网站

一旦受害者访问虚假网站,他们将被要求提供银行信息,包括代理商号码,帐号,手机号码,卡片针,八位数针和一个CABB号码。

专家注意到,广告系列中使用的网上诱骗网站在URL地址中被标记为不安全。

Radware向攻击所针对的金融机构报告了这些活动,并且虚假网站已经脱机。

“检查设备和路由器使用的DNS服务器的便捷方式是通过http://www.whatsmydnsserver.com/等网站。

只有过去两年未更新的调制解调器和路由器才能被利用。更新将保护设备的所有者,并防止设备被用于DDoS攻击或用于隐藏有针对性的攻击。“

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!