Il sito Web della banca inoltra al sito falso - disco rigido formattato - ancora avanti

7

Riepilogo:

Quando visito il sito web della mia banca, mi viene inoltrato a un sito di phishing mirror.

  • Ciò è persistito attraverso una riformattazione del mio MacBook.
  • Anche su browser diversi!
  • Altri computer sulla stessa rete non hanno questo problema, quindi non penso che sia il router.
  • Visitare il mio sito banca tramite VPN funziona bene, quindi non sembra nemmeno un virus.

Che cosa potrebbe succedere qui?

Full Story:

Alcune settimane fa il mio conto bancario è stato violato. Ho digitato l'url sul sito web della mia banca e sono stato inoltrato a un sito mirror senza accorgermene, dove ho stupidamente inserito i dettagli del mio account. Questo stava usando Chrome su un MackBook Pro. Sono andato in banca per presentare un reclamo per frode e hanno detto che doveva essere il mio computer perché nessun altro ha segnalato questo problema.

Ho formattato il mio portatile seguendo queste istruzioni: link

Sono tornato sul sito web della banca e sono stato comunque inoltrato al sito mirror! (Ora che lo sto cercando, posso dirlo perché l'url è leggermente diverso e non https). Così ho provato su browser diversi, perché mi sono ricordato che in passato questa banca utilizzava certificati digitali, quindi forse c'è uno salvato nelle mie impostazioni di Chrome da qualche parte che è stato compromesso. (Ho provato la navigazione anonima, oltre a Safari, e persino scaricato e provato il browser Epic) e ancora mi sono inoltrato al sito falso!

Sul laptop di mio cognato sullo stesso router / LAN, passa al sito web della banca corretto senza l'inoltro.

Ma se visito il sito tramite una VPN, non mi inoltra al sito falso! Che diamine?? C'è un virus sul mio computer? Sicuramente se fosse locale, la VPN non farebbe differenza? Ma se fosse alla fine della banca, non sarebbe successo solo a me! Sono confuso e preoccupato per la mia sicurezza online ora. Qualcuno può far luce su quello che potrebbe succedere qui?

UPDATE:

La prima cosa che ho fatto è stato pingare l'URL della banca da ping.eu e ha restituito un indirizzo che inizia 186 ... Quando copio questo IP nella mia barra degli URL, dice "il sito non può essere raggiunto. [IP L'indirizzo] ha impiegato troppo tempo per rispondere "

Poi ho eseguito il ping dello stesso URL da "utility di rete" sul mio macbook, e ha restituito un indirizzo IP diverso! Quando ho copiato questo nella mia barra degli URL, ho ricevuto una pagina di Chrome che diceva "Errore di sicurezza! Sito ingannevole in anticipo".

Il mio server DNS è elencato come 192.168.0.1 - totalmente normale vero? Quindi è il router? Ma il portatile del mio B-I-L non ha il problema? Cosa significa questo?? E cosa dovrei fare ??

Un altro aggiornamento:

Dopo l'aiuto che mi avete dato sui problemi di router e dns ho cercato su google "come rilevare l'attacco mitm". Ho controllato le impostazioni DNS sul router, e ha spuntato la casella "usa questi server DNS", con due indirizzi IP casuali compilati. Ho deselezionato la casella, sono andato al sito web della mia banca e voilà! Nessun sito di phishing.

Quindi hanno hackerato il mio router? Non sapevo nemmeno che fosse possibile, ma ora che ci penso, è accessibile da remoto sulla LAN e il nome utente / password è l'impostazione predefinita del produttore. Sarà sufficiente un hard reset del router e quindi cambiare nome utente / password ora?

Un'altra domanda è: in che modo hanno avuto accesso al mio router in primo luogo? Il mio BIL dovrebbe anche formattare il suo laptop nel caso in cui si trattasse di un virus?

    
posta Tom 06.04.2016 - 18:33
fonte

4 risposte

4

Un metodo di attacco comune coerente con i tuoi sintomi è il dirottamento DNS, che è qualsiasi mezzo che un utente malintenzionato usa per convincere il tuo computer che il sito web della tua banca, "www.mybank.com" è effettivamente su un IP che è un server sotto il loro controllo invece dell'IP sotto il controllo della vostra banca. Quando lo digiti in un browser, si dirige verso il server malevolo che ti mostra una pagina simile alla pagina della tua banca, aspettandoti di accedere senza sapere la differenza.

Un router compromesso potrebbe far sì che le tue richieste DNS passino attraverso di esso e quindi essere sostituito da IP dannosi quando vengono restituiti, mentre l'utilizzo di una VPN lo escluderebbe e ti mostrerà il sito corretto. Inoltre, un altro dispositivo sulla rete potrebbe non utilizzare il router locale come server DNS, il che potrebbe anche far sì che non ricada per lo stesso attacco basato su router.

Per sapere se si tratta di un problema DNS, dal computer interessato prova a eseguire il ping del nome host di base (prima parte dell'URL) per il tuo banco, vedi quale IP torna indietro. Quindi controlla la proprietà degli IP su un sito come arin.net, se non è di proprietà della tua banca o di un fornitore CDN affidabile, boom saprai di avere un dirottamento DNS in corso.

Puoi anche testarlo incollando l'IP trovato nella barra del browser e vedere cosa succede, ma dal momento che il tuo browser potrebbe mostrarti una pagina che assomiglia al sito della tua banca, non è conclusivo se non guardi attentamente attraverso il TLS informazioni sul certificato per assicurarti che sia davvero la tua banca. Un altro possibile risultato è che il nuovo sito verrà contrassegnato come dannoso (se tenta di mostrare una pagina crittografata TLS con un certificato non valido), ma non è garantito che ciò avvenga.

Modifica: ulteriori informazioni sui compromessi del router

L'autore dell'attacco ha alcuni modi possibili per forzare il router a fare qualcosa che non vuoi: può semplicemente accedere da remoto che è particolarmente facile se il router è esposto a Internet (molti lo sono) e le credenziali sono predefinito (molti sono). Entrambi questi dovrebbero essere evitati in ogni momento. Alcuni router hanno avuto exploit firmware che consentono a un utente malintenzionato di aggirare la password; firmware aggiornato dovrebbe essere cercato e applicato su base frequente. Sono possibili anche exploit basati su browser: un pezzo di malware in un sito, un annuncio, ecc. Andranno in cerca di IP / credenziali predefiniti del router, ignorando le restrizioni di accesso esterne utilizzando il proprio computer per farlo e quindi eseguiranno una modifica come impostazione dei server DNS su quelli dannosi.

Un'altra semplice mitigazione delle impostazioni del router primitive dirottare gli sforzi come questo è anche semplicemente impostare il tuo computer per usare un host DNS specifico, come il venerabile 8.8.8.8 (la rete di server DNS basata su anycast altamente disponibile di google) che è ancora possibile per dirottare se il router è compromesso al 100% e tutto il traffico UDP della porta 53 viene reindirizzato, ma attacchi più semplici come le impostazioni non possono farlo, in modo che vengano effettivamente bloccati.

    
risposta data 06.04.2016 - 19:47
fonte
2

Sembra essere un attacco Man in the Middle con lo spoofing del DNS. Suggerisco di eseguire un ping da un servizio online come questo e controllare l'indirizzo IP del sito. Quindi digita nella barra degli indirizzi del browser e controlla se riesci a reindirizzare il sito web falso.

    
risposta data 06.04.2016 - 19:03
fonte
2

So they hacked my router? I didn't even know that was possible, but now that I think about it, it is remotely accessible on the LAN and the username/password is the manufacturer default. Will a hard reset of the router and then changing the username/password be sufficient now?

  1. Scarica il firmware più recente per il tuo router su un computer. Cerca malware.
  2. Disconnettere il router da tutti i dispositivi di rete tranne il computer che contiene l'aggiornamento del firmware. Se il tuo router supporta l'aggiornamento del firmware da un dispositivo USB, questo è ancora meglio (dato che puoi scollegare tutti i dispositivi di rete).
  3. Ripristina il router alle impostazioni di fabbrica.
  4. Aggiorna il firmware e cambia la password per l'account admin / root (e cambia anche il nome dell'account, se possibile).
  5. Inserisci di nuovo le impostazioni di rete e ricollega tutti i dispositivi di rete.

Another question is, how did they gain access to my router in the first place? Should my BIL also format his laptop in case it was a virus?

Ci sono molti possibili vettori di attacco, ma molto probabilmente è un attaccante esterno che ha utilizzato una vulnerabilità nota nel firmware del router. Eventuali patch del firmware dovrebbero risolvere eventuali vulnerabilità. Se questo è il caso, trovo anche meno probabile che il malware informatico sia stato responsabile di questo ... ma è meglio sbagliare dal lato della sicurezza. Dovresti eseguire scansioni di malware di tutti i dispositivi di rete applicabili.

Se il router ha impostazioni che indicano la possibilità di accedere o gestire il router da un indirizzo esterno (lato WAN), questa impostazione deve essere sempre disabilitata a meno che non si abbiano esigenze specifiche per questo e sappiano come proteggersi da accesso non autorizzato.

    
risposta data 07.04.2016 - 10:21
fonte
1

Questo è un suggerimento per cercare di restringere il campo dove potrebbe trovarsi il problema. In Chrome, suggerisco di aprire una finestra di navigazione in incognito, quindi di aprire gli strumenti per sviluppatori. Passare alla scheda di rete. Digita l'URL corretto in Chrome e premi invio. Se la richiesta nella scheda di rete ha l'URL sbagliato, qualcosa sul tuo computer sta cambiando l'URL (forse un cattivo componente aggiuntivo che viene installato automaticamente su vari browser?). Se si ottiene un 302 indietro, quindi il problema non è sul tuo computer. In quel caso qualcosa sta restituendo una risposta malevola. Questo può aiutarti a focalizzare il tuo sforzo di ricerca.

    
risposta data 06.04.2016 - 19:17
fonte

Leggi altre domande sui tag