Jak zabezpieczyć router przed atakami wirtualnych przestępców?

Ostatnie doniesienia medialne dotyczące „dziurawych routerów”, narażonych na hakerskie ataki wywołały wśród niektórych internautów niepokój. Historia mężczyzny, który stracił z tego powodu sporą kwotę pieniędzy, pokazuje, że ważne jest nie tylko przestrzeganie najistotniejszych zasad bezpieczeństwa, ale także znajomość niedoskonałości technologicznych routerów – sprzętu, na który niewielu z nas zwraca dużą uwagę. To szczególnie ważne, kiedy korzystamy z bankowości internetowej.

Zanim bardziej szczegółowo o zabezpieczeniach routerów, warto przypomnieć, że mBank, w związku z przeprowadzonym rebrandingiem, nie wymaga dokonywania jakichkolwiek aktualizacji rachunków. Zmiana nazwy MultiBanku i BRE Banku na mBank nie wymaga modyfikacji numerów kont bankowych klientów. Każdy komunikat o konieczności utworzenia nowego numeru konta dla odbiorcy zdefiniowanego należy traktować jako próbę wyłudzenia naszych poufnych danych. W takim wypadku najważniejszy jest niezwłoczny kontakt z bankiem oraz przeskanowanie komputera programem antywirusowym.

Router narażony na atak

Dużym ułatwieniem dla cyberprzestępców może okazać się router podatny na atak. Złodzieje najpierw wyszukują odpowiednie modele (lista najpopularniejszych routerów narażonych na atak znajduje się na końcu wpisu). Jeżeli urządzenie posiada możliwość zdalnego logowania, hakerzy wykradają hasło i zmieniają adresy serwerów DNS. Dzięki temu są w stanie przekierować nas na fałszywą stronę, np. naśladującą stronę banku (pomimo wpisania przez użytkownika jej poprawnego adresu). Strona najczęściej wygląda jak oryginalna, co sprawia, że niezwykle trudno dostrzec niebezpieczeństwo. Klient, nic nie podejrzewając, staje się o wiele łatwiejszym celem dla przestępców. Opisywani w mediach złodzieje, podszywając się pod jeden z banków, korzystając z metod socjotechnicznych przekonali ofiarę, że konieczne jest potwierdzenie numeru konta i przepisanie otrzymanego SMS-em kodu. Z tymi danymi przestępcy mogli już przelać pieniądze na dowolne konto.
Jak nie dopuścić do zagrożenia?

– Pierwszy krok to sprawdzenie czy adresy serwerów DNS są ustawione na wartości należące do dostawcy internetu (można to skonsultować telefonicznie z infolinią dostawcy internetu);
– koniecznym zabezpieczeniem przed potencjalnym atakiem jest włączony firewall (w przypadku routerów firmy TP-Link dodatkowo trzeba włączyć opcję SPI, sam firewall nie wystarcza);
– należy także zmienić hasło dla konta administratora routera, jeżeli to możliwe wyłączyć możliwość zarządzania nim z sieci internet (remote management) oraz sprawdzić czy producent naszego routera udostępnił aktualizację firmware usuwającą podatność na ataki;
– powinno się również pamiętać, że resetowanie routera i przywracanie ustawień fabrycznych jest niewystarczające – dostęp do urządzenia będzie nadal możliwy. Dlatego należy poprawnie skonfigurować router.

Jak sprawdzić czy ktoś próbował wykraść nasze dane wykorzystując router?

Oprócz sprawdzenia adresów serwerów DNS, użytkownicy routerów TP-Link, mają jeszcze jeden sposób weryfikacji czy urządzenie nie było celem ataku. W tym celu należy wpisać w przeglądarce adres: http://IP_ROUTERA (podstawiając właściwe IP w podanym miejscu). Jeżeli w efekcie dostaniemy informację o możliwości pobrania pliku na dysk komputera (a nigdy nie robiliśmy kopii zapasowej firmware) to istnieje duże prawdopodobieństwo, że nasz router ma zmienioną konfigurację DNS.

Podatność na opisane ataki dotyczy routerów wykorzystujących firmware ZyNOS. Są to, między innymi:

– TD-W8901G
– TD-8816
– TD-W8951ND
– TD-W8961ND
– D-Link DSL-2640R
– AirLive WT-2000ARM
– Pentagram Cerberus P 6331-42
– ZTE ZXV10 W300

Każdy może także sprawdzić swój router na stronie: http://cert.orange.pl/modemscan/