Attenti al router

SymantecSi chiama drive-by pharming ed è un nuovo tipo di attacco che viene utilizzato dagli hacker per modificare le tabelle Dns dei router casalinghi e rubare informazioni confidenziali come i dati di accesso a un conto corrente. Non è una novità  assoluta: l’anno scorso un white paper realizzato da Symantec e dall’Università  dell’Indiana ne ha coniato il termine, ma finora non era ancora stato scoperto un caso reale di utilizzo di questo tipo di attacco, che assomiglia, almeno in parte, a un tipico attacco di phishing.

Ieri invece Symantec ha segnalato il primo caso concreto di drive-by pharming, che ha preso di mira una importante banca messicana. Il funzionamento è abbastanza semplice: l’attacco parte da un’e-mail, che nel caso segnalato da Symantec proveniva apparentemente da uno dei numerosi servizi Web per l’invio di biglietti di auguri. Il messaggio contiene del codice Javascript che cerca di accedere al router usando username e password impostati di default. Se l’attacco al router va a buon fine, il codice maligno modifica le tabelle Dns, così che ogni volta che gli utenti collegati a questa periferica cercano di accedere al sito della banca on-line vengano ridirezionati verso un sito simile in tutto e per tutto a quello originale, ma realizzato appositamente dagli hacker per rubare le password di accesso.

Il drive-by pharming è particolarmente pericoloso perché agisce in modo molto subdolo e perciò può essere difficilmente rilevato dagli utenti. Per evitare questo tipo di attacco è fondamentale ricordarsi di modificare la password di amministrazione impostata di default su tutti i router utilizzati in casa e nei piccoli uffici. I router di classe enterprise dovrebbero essere esclusi da questo tipo di attacco perché utilizzano sistemi di amministrazione più sofisticati.

PCProfessionale © riproduzione riservata.

5 Commenti

  1. Si parla di username e password per l’amministrazione del router, dunque lei non dovrebbe avere problemi SE quelli di telecom non hanno lasciato una password predefinita per la configurazione del router.

    La chiave Wpa-psk non la protegge da questo tipo di attacco ma dai suoi vicini o da qualcuno che la attacca dalla strada se il segnale raggiunge la strada, cercando di violare la rete wireless.

    Il controllo del “lucchetto” del browser è una cosa utile da controllare, visto che ovviamente gli hacker non dovrebbero avere a disposizione il certificato del sito Web della banca.

    Per l’antivirus: Norton va sicuramente bene, così come va bene IE7. Personalmente le consiglio anche di provare Firefox.

  2. Buondì Filippo,

    Puoi gentilmente risponde a questi quesiti?

    Si parla di chiavi d’accesso user e password standard o generiche:
    Ma chi ha un servizio ADSL di Alice con la smart card che obbliga ad utilizzare password generiche di telecom e non reimpostabili a mano, è a rischio serio?
    Basterà la chiave WPA-PSK che danno con il router Alice a proteggere l’utente?
    Io poi uso Symantec Norton Internet Security 2007 ancora per 2 mesi poi passo al 2008 quando scade la licenza.
    Basta anche questo o c’é di meglio per l’utente domestico che l’abbinata WPA-PSK + Norton IS2007/2008?
    Inoltre parli di codice javascript e sito speculare ma maligno, SNIS2007 ha per IE7 il sistema di monitoraggio frodi e codice maligno integrato nel browser, inoltre, IE7 ha il lucchetto che indica la SSL3 di protezione: il sito maligno di deviazione come si presenta all’utente malcapitato?

    Attendo cortesemente tue news
    A presto e grazie
    dzrzrd

  3. piccolofalco75, mi permetta di dire che disattivare firewall “interno” e antivirus è una pessima idea! Il firewall di rete del router svolge un compito importante, ma anche il personal firewall presente sul suo pc è importante. Basta prendere un bel virus tramite la posta elettronica su uno dei Pc della sua rete per passarlo in un batter d’occhio agli altri 3…. se tiene il personal firewall disattivato…

  4. Comunque già ad aprile dell’anno scorso ho segnalato nei miei corsi, la presenza di questo nuovo tipo di attacco. E ho raccomandato di fare molta attenzione ai miei studenti!

  5. ho già letto questa notizia, anche se siamo lontani, siamo tutti bersaglio. io ho già preso le mie precauzioni.
    Tra l’altro mi trovo molto bene col mio router. Le password le cambio regolarmente ogni 15 giorni, con un algoritmo di mia preparazione, semplice ma efficace! Inoltre dicono che il firewall integrato renda molto più sicura la navigazione. Infatti dopo circa 2 mesi e con 4 pc collegati ho riscontrato solo 3 spyware di poco conto e ho disattivo sia il firewall interno che antivirus.

Comments are closed.