Uwaga na infekcje routerów ADSL (np. do Neostrady lub Netii)

W ostatnich dniach zaobserwowaliśmy wzmożoną liczbę włamań na routery ADSL – czyli te służące do połączenia internetowego np. w Netii lub Orange (usługa Neostrada). Atak polega na podmianie adresów DNS, przez co po wejściu na stronę internetową np. google.pl użytkownik zostawał przekierowywany na zupełnie inną inną spreparowaną stronę, zachęcającą do kliknięcia w przycisk i pobrania na swój komputer bliżej nieznanego programu (możliwe, że jakiegoś wirusa, malware… etc.).

DNS (ang. Domain Names System) – to specjalny system, który “tłumaczy” trudne do zapamiętania adresy IP stron www, na przyjemne dla człowieka ciągi znaków. Dla przykładu na stronę google.pl możemy wejść wpisując w okno przeglądarki adres 176.126.59.95 ale nie musimy bo jest DNS

Poniżej przykład takiej strony. W przeglądarce wyświetla się komunikat zachęcający zmuszający do zaktualizowania Flash Playera. Gdyż nie możliwe jest normalne przeglądanie strony.

Warning! Your Flash Player may be out of date. Please update to continue

Przechwytywanie3

Po naciśnięciu przycisku OK użytkownik zostaje przekierowany na tą stronę:

Update Your Flash Player

flash

Naciśnięcie zarówno przycisku Install jak i Remind me later spowoduje pobranie na komputer pliku setup.exe, którego wątpliwe pochodzenie alarmuje nawet darmowy program antywirusowy Avast.

avast

Wracając do adresów DNS…

Domyślnie adresy DNS automatycznie dostarczane są przez operatora. Można jednak używać własnych, wtedy te przydzielone przez ISP zostają pominięte.

Szybki rzut oka na ustawienia karty sieciowej komputera. W tym celu należy wejść w Panel sterowania -> Sieć i Internet -> Połączenia sieciowe -> i na połączeniu z którego korzystamy (w moim przypadku Połączenie lokalne ) klepiemy PPM – prawym przyciskiem myszy i wybieramy właściwości. Następnie zaznaczamy Protokół internetowy w wersji 4 (TCP/IPv4) i naciskamy Właściwości

Przechwytywanie5

Ustawienia wydają się być prawidłowe. O czym jeszcze w dalszej części wpisu… Wiemy natomiast, że to nie jest problem komputera.

W następnym kroku sprawdzamy ustawienia Routera. Tutaj w zależności od producenta, sposób logowania będzie różny.

PrzechwytywanieW zakładce Interface Setup -> LAN w sekcji DNS wyraźnie widać, że pola z adresami DNS zostały wypełnione wartościami:

  • 37.59.8.25
  • 178.33.118.171

Rozwiązanie problemu

W celu rozwiązania problemu należy usunąć te adresy ustawiając Use Auto Discovered DNS Server Only

Przechwytywanie22lub wpisując inne zaufane adresy DNS np. dostarczane przez Google:

  • 8.8.8.8
  • 8.8.4.4

Można też ustawić statyczne adresy w ustawieniach kart sieciowej w komputerze.

Następnie zmień domyślne hasło do routera. Na koniec zablokuj dostęp do panelu zarządzania routerem od strony Internetu

 

Czy Twój router mogą przejąć cyber – przestępcy?

Jeśli chcesz sprawdzić, czy Twój router jest podatny na atak, pozwalający na przejęcie nad nim kontroli przetestuj go za pomocą narzędzia dostarczonego przez zespół CERT firmy Orange. Sprawdzi ono, czy konfiguracja urządzenia jest odporna na opisywany atak, a także, czy Twój router jest zabezpieczony hasłem innym, niż standardowe.

Uwaga: Podczas testu Twój komputer/tablet/telefon musi być podłączony do sieci, w której znajduje się testowany modem. Test mogą wykonać abonenci każdego dostawcy usług internetowych (nie jest ograniczony do Klientów usług Orange Polska).

W tym celu naciśnij przycisk skanuj.

 

 

PS. Właściwa strona Adobe Flash Player dostępna jest pod adresem http://get.adobe.com/pl/flashplayer/ i wygląda ona mniej więcej tak.

fla

Więc jeśli zauważysz jakąś znaczną różnicę to wiedz, że coś się dzieje…

2 thoughts on “Uwaga na infekcje routerów ADSL (np. do Neostrady lub Netii)”

  1. Routery oferowane przez nas nie są zagrożone. Dbamy o stałą aktualizację ich oprogramowania. Abonenci, którzy korzystają z własnych routerów, spoza oferty operatora, mogą sprawdzić ich podatność na ataki dzięki przygotowanemu przez nas testowi dostępnemu na stronie http://cert.orange.pl/modemscan/. Zachęcamy do wypróbowania tego narzędzia.

    cert.orange.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *