Esta vez le ha tocado el turno a los routers de la marca Dlink, efectivamente un grupo de ciberdelincuentes ha conseguido hacer cambios remotos sin autenticación en los ajustes de DNS de ciertos modelos de routers outers DSL de DLink en Brasil, para ello se han valido de un exploit (fragmento de software que permite realizar una determinada función)
Según una investigación de Radware, Los atacantes cambian los DNS a unos servidores DNS bajo su control. Este DNS Spoofing (uso de técnicas de suplantación de identidad) les permite redireccionar a usuarios que intentan conectarse a sus bancos online redirigiéndolos a sitios web falsos que roban la información de la cuenta del usuario.
Se puede escanear fácilmente Internet en busca de estos dispositivos y cambiar mediante un script (archivo de órdenes o archivo de procesamiento por lotes) grandes cantidades de routers vulnerables para que así los ajustes de DNS de los routers apunten a otro que este bajo el control del atacante.
Cuando las víctimas accedían a estos sitios web, les aparecían de forma idéntica al sitio web original, pero, en realidad se trataba de un clon en el cual se le solicitaban los datos bancarios de la cuenta. Esta información era recogida por los atacantes. La única señal de que algo estaba mal era que el navegador le indicaba al usuario que la conexión no era segura por no tener el certificado SSL.
Este tipo de ataques son muy peligrosos ya que no es necesario enviar Phishing y no se realizan cambios en el ordenador de la victima. En vez de eso, todo se realiza en el mismo router, así que para el usuario todo esta correcto.
Radware ha notificado a los bancos afectados y todos los sitios web maliciosos han sido apagados.
