Hackere hijacker 300.000 trådløse routere

Illustration: Virrage Images/Bigstock
Hackere kaprer routere og ændrer DNS-indstillingerne. Det kan give hackere adgang til brugernes netbank.

Efterforskere har opdaget endnu et masseangreb på routere typisk brugt i private hjem eller på mindre kontorer. Det skriver Ars Technica.

Mindst 300.000 routere er ramt af angrebene, og det drejer sig om routere fra producenterne D-Link, Micronet, Tenda, TP-Link samt flere.

Hackere overtager styringen af routerne og bruger den til at ændre på DNS-indstillingerne. Det betyder, at hackerne kan sende brugerne ud på websites, der ligner og opfører sig som en webbank, men i virkeligheden stjæler det falske website brugerens log in-oplysninger.

Indtil videre er det hovedsageligt landene Vietnam, Indien, Italien, Thailand og Colombia, som er ramt af angrebene. Det sker kun få uger efter, at efterforskere opdagede et andet masseangreb mod routere, hvor en orm ramte flere tusinde Linksys- routere, og et sikkerhedshul i Asus-routere blev udnyttet til at skaffe sig adgang til harddiske forbundet til routerne.

»Angrebets størrelse tyder på, at der er tale om traditionel it-kriminalitet som for eksempel redirigering af søgeresultater, kapring af reklamepladser eller installering af drive by-downloads; alt sammen kriminalitet, som kræver et storstilet angreb for at være profitabelt,« skriver efterforskerne i deres rapport.

Du kan selv undersøge, om din router er offer for angrebet ved at undersøge DNS-indstillingerne. Hvis de er ændret til 5.45.75.11 og 5.45.76.36, er din router blevet kompromitteret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Schou

Hvis du går ind i din netbank eller andet sted hvor du bruger NemID, så skal du ikke bare klikke OK, hvis din browser kommer op og siger at der er en certifikat-fejl. Er der certifikat-fejl, er der noget galt, og enten venter man til at den ikke er der mere, eller ringer til NemID og får at vide at det er dem der klokket i det. Alternativt er det din router der er blevet hacket, for der ville certifikat-fejl kunne ses.

mEn det kan osgå bare være NemId igen Udløbet NemID-certifikat forvirrer brugere.

Martin Nielsen

Hvis du går ind i din netbank eller andet sted hvor du bruger NemID, så skal du ikke bare klikke OK, hvis din browser kommer op og siger at der er en certifikat-fejl.


Hvis du går ind på din netbank og du i virkligheden går ind på en kopi af din netbank, så vil det ikke være en ægte java-applet som loader. Du vil derfor ikke få en certifikat-fejl.

DNS highjacking er ikke en ny metode og den er gennemprøvet af de kriminelle.

Mit råd til folk er altid, at skrive noget volapyk, hvis de får den mindste mistanke om at der er noget galt. Kommer man videre efter man har skrevet noget tilfældigt, så er der noget galt. Men man kan ikke læne dig op af, at der vil være fejl-beskeder fra certifikater eller lignende.

Brian Hansen

Hvis din router først er inficeret, og hackeren snupper et par af dine passwords ved at logge trafikken (du bruger selvfølgelig ikke det samme password andre steder, vel? Nå ikke? :P), så er det en smal sag at installere et self signed root certifikat som java glædeligt æder. Eller bare skrue dine java sikkerheds indstillinger i bund. Eller bare lave en form der ligner nemid men slet ikke kører java.

Carsten Olsen

En anden adresse som din router osse kan kører med som DNS hvis du er inficeret er: 95.211.156.101

Der er et vist sammenfald af ting mellem de to steder (i Holland og UK), som gør at jeg tror vi har at gøre med NSA eller en anden større forbryderbande.

Husk at hvis du sidder på en inficeret router og kører med automatisk opsætning af ip-adresser mm. (DHCP) (det gør ALLE) ,kan du ikke føle dig sikker selvom du kører Linux.

Kjeld Flarup Christensen

Det her er nemt at bekæmpe via ISP'erne. Med alvorlige konsekvenser for internetfriheden desværre.

En ISP blokerer blot for DNS opslag til andre end ISP'ens egne DNS servere.

Dette har så den konsekvens at pludseligt kan man ikke længere bruge frie og ucensurerede DNS servere, og ellers demokratiske og frie stater har fået spillet et redskab i hænde som kan bruges til øget censur.

I øvrigt, så bør ISP'erne dog blokere for de IP'er der er nævnt her. Telefonselskaberne er for længst begyndt at blokere for kendte telefonnumre der benyttes til fraud. Ved en sådan blokering vil hackerne hurtigt sætte nye IP'er ind, men kunderne vil hurtigt opdage at der er noget galt, fordi deres internet ikke virker.

Men hvis det er muligt at pille ved DNS, hvorfor så ikke omdirigere f.eks. 8.8.8.8 eller danske banks IP til en snyde server. Det kræver lidt mere af routeren, men hvorfor ikke? Hvornår begynder de at skifte firmwaren ud i routerne?

Log ind eller Opret konto for at kommentere