Crece el número de routers atacados para cambiar sus DNS por otras falsas

Iniciado por Dragora, Julio 12, 2019, 06:57:51 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 12, 2019, 06:57:51 PM

En abril os explicamos cómo miles de routers habían sido hackeados para cambiarles las DNS. Este tipo de ataques empezó a ser cada vez más común y parece que la cosa sigue yendo a más con el paso de los meses. Básicamente, el ataque buscar cambiar las DNS legítimas, ya sean del operador o de terceros, por unas maliciosas que luego nos llevan a páginas webs falsas que roban nuestros datos y credenciales de acceso. Ahora se ha detectado que crece el número de routers atacados para cambiar sus DNS por otras maliciosas.
En un primer momento, hasta 15.000 usuarios de routers D-Link y otros modelos habían sido hackeados. Para el cambio de las DNS se aprovechaba una vulnerabilidad en el firmware de estos routers que les permite hacer cambios en la configuración sin que nadie se dé cuenta. El ataque en cuestión accede al router (siempre con contraseñas por defecto) y cambia los ajustes de DNS.

Para el usuario es un proceso transparente del que no tiene conocimiento. A partir del cambio, una vez que visita Facebook en realidad las DNS maliciosas le redirigen a una IP que imita la apariencia de Facebook, pero que sólo buscar robar sus datos personales. Este tipo de ataques se conocen como DNSChanger y parece que cada vez son más habituales, por lo que deberíamos empezar a extremar las precauciones.

Ataques contra routers para cambiar sus DNS por otras maliciosas
Un reciente artículo confirma un repunte de los ataques, concretamente en Brasil, pero también en otras localizaciones. Con un exploit kit conocido como GhostDNS en un primer momento y después sustituido por SonarDNS, hasta 4,6 millones de ataques han sido detectados desde el 1 de febrero de este año.

Como hemos dicho, el ataque se aprovecha de no haber cambiado la contraseña por defecto del router y mantener combinaciones como:

- admin:admin
- admin:
- admin:12345
- Admin:123456
- admin:gvt12345
- admin:password
- admin:vivo12345
- root:root
super:super
El listado de modelos afectados ha crecido desde que dimos la primera noticia y ahora mismo comprende todos estos:

- TP-Link TL-WR340G
- TP-Link WR1043ND
- D-Link DSL-2740R
- D-Link DIR 905L
- A-Link WL54AP3 / WL54AP2
- Medialink MWN-WAPR300
- Motorola SBG6580
- Realtron
- GWR-120
- Secutech RiS-11/RiS-22/RiS-33

Además de estar muy atentos a las URL que accedemos, deberemos mantener siempre el firmware del router actualizado. En caso de tratarse de un modelo muy viejo, más vale que lo cambiemos por otro más moderno. Finalmente, debemos chequear las DNS que estamos utilizando para navegar, pudiendo optar por las del operador o por las de terceros como 8.8.8.8 de Google, 9.9.9.9 de IBM, 1.1.1.1 de Cloudflare o cualquier otra.








Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario