Riepilogo:
Quando visito il sito web della mia banca, mi viene inoltrato a un sito di phishing mirror.
- Ciò è persistito attraverso una riformattazione del mio MacBook.
- Anche su browser diversi!
- Altri computer sulla stessa rete non hanno questo problema, quindi non penso che sia il router.
- Visitare il mio sito banca tramite VPN funziona bene, quindi non sembra nemmeno un virus.
Che cosa potrebbe succedere qui?
Full Story:
Alcune settimane fa il mio conto bancario è stato violato. Ho digitato l'url sul sito web della mia banca e sono stato inoltrato a un sito mirror senza accorgermene, dove ho stupidamente inserito i dettagli del mio account. Questo stava usando Chrome su un MackBook Pro. Sono andato in banca per presentare un reclamo per frode e hanno detto che doveva essere il mio computer perché nessun altro ha segnalato questo problema.
Ho formattato il mio portatile seguendo queste istruzioni: link
Sono tornato sul sito web della banca e sono stato comunque inoltrato al sito mirror! (Ora che lo sto cercando, posso dirlo perché l'url è leggermente diverso e non https). Così ho provato su browser diversi, perché mi sono ricordato che in passato questa banca utilizzava certificati digitali, quindi forse c'è uno salvato nelle mie impostazioni di Chrome da qualche parte che è stato compromesso. (Ho provato la navigazione anonima, oltre a Safari, e persino scaricato e provato il browser Epic) e ancora mi sono inoltrato al sito falso!
Sul laptop di mio cognato sullo stesso router / LAN, passa al sito web della banca corretto senza l'inoltro.
Ma se visito il sito tramite una VPN, non mi inoltra al sito falso! Che diamine?? C'è un virus sul mio computer? Sicuramente se fosse locale, la VPN non farebbe differenza? Ma se fosse alla fine della banca, non sarebbe successo solo a me! Sono confuso e preoccupato per la mia sicurezza online ora. Qualcuno può far luce su quello che potrebbe succedere qui?
UPDATE:
La prima cosa che ho fatto è stato pingare l'URL della banca da ping.eu e ha restituito un indirizzo che inizia 186 ... Quando copio questo IP nella mia barra degli URL, dice "il sito non può essere raggiunto. [IP L'indirizzo] ha impiegato troppo tempo per rispondere "
Poi ho eseguito il ping dello stesso URL da "utility di rete" sul mio macbook, e ha restituito un indirizzo IP diverso! Quando ho copiato questo nella mia barra degli URL, ho ricevuto una pagina di Chrome che diceva "Errore di sicurezza! Sito ingannevole in anticipo".
Il mio server DNS è elencato come 192.168.0.1 - totalmente normale vero? Quindi è il router? Ma il portatile del mio B-I-L non ha il problema? Cosa significa questo?? E cosa dovrei fare ??
Un altro aggiornamento:
Dopo l'aiuto che mi avete dato sui problemi di router e dns ho cercato su google "come rilevare l'attacco mitm". Ho controllato le impostazioni DNS sul router, e ha spuntato la casella "usa questi server DNS", con due indirizzi IP casuali compilati. Ho deselezionato la casella, sono andato al sito web della mia banca e voilà! Nessun sito di phishing.
Quindi hanno hackerato il mio router? Non sapevo nemmeno che fosse possibile, ma ora che ci penso, è accessibile da remoto sulla LAN e il nome utente / password è l'impostazione predefinita del produttore. Sarà sufficiente un hard reset del router e quindi cambiare nome utente / password ora?
Un'altra domanda è: in che modo hanno avuto accesso al mio router in primo luogo? Il mio BIL dovrebbe anche formattare il suo laptop nel caso in cui si trattasse di un virus?