Amikor vírusra sincs szükség az adatlopáshoz

Az adattolvajok az otthoni hálózati eszközök biztonsági réseit is könyörtelenül kihasználják, hogy banki adatokhoz tudjanak hozzáférést szerezni.
 

A számítógépes vírusok között tömegével találhatóak olyan példányok, amelyek kifejezetten banki adatok eltulajdonítására specializálódtak. Ezek általában billentyűleütések naplózásával, képernyőképek készítésével vagy webböngészők kémlelésével, manipulálásával próbálnak hozzájutni értékes információkhoz, amiket aztán különböző távoli kiszolgálókra töltenek fel. A lengyel CERT Polska (Polish Computer Emergency Response Team) biztonsági csapata azonban a napokban egy más jellegű trükkre figyelt fel, amely legalább olyan észrevétlenül és alattomosan képes hozzájárulni adatlopáshoz, mint a jól rejtőzködő vírusok. A kockázatokat pedig az is fokozza, hogy a trükkel a számítógépekre telepített biztonsági szoftverek nem igen tudnak mit kezdeni, ugyanis ezúttal nem a PC-k kerülnek célkeresztbe.

A biztonsági kutatók eddigi vizsgálatai szerint az adattolvajok az otthoni hálózatokban gyakorta megtalálható routereket szemelik ki maguknak, és azok beállításainak módosításával próbálják elérni a céljukat. A módszer alapvetően nem új keletű, hiszen a hálózati eszközök már régóta mozgatják a csalók fantáziáját, azonban a lengyel CERT szerint ez az első alkalom, hogy szélesebb körű, komplex támadások épülnek ezekre a technikákra.

A támadók eljárása több lépcsőben valósul meg. Először sebezhető routereket keresnek, amelyeket akár automatizált eszközökkel is felderíthetnek. Amikor ráakadnak egy biztonsági réssel sújtott hálózati útválasztóra, akkor megváltoztatják annak DNS (névszerver) beállításait. Mivel a legtöbb esetben az otthoni hálózatokhoz csatlakoztatott számítógépek, mobil eszközök a routertől kapják a névszerverek címeit is, ezért a csalók egy csapásra minden PC adatforgalmát képesek lehetnek manipulálni.

Amikor a felhasználó egy banki (vagy bármilyen más) weboldalt letölt a böngészőjének segítségével, akkor a támadók a DNS módosításával átirányításokat hajtanak végre a saját kártékony weboldalaikra, vagy közbeékelődéses támadások útján kémlelik, manipulálják az adatforgalmat. Az előbbi esetben hamis banki oldalakra vezethetik a felhasználókat, ahol arra kérik őket, hogy adják meg a bejelentkezési adataikat, amik aztán rögtön a birtokukba kerülnek.

A közbeékelődéses (man-in-the-middle) támadási módszer esetén a támadók a saját szerverükön keresztül vezetik át az adatforgalmat. Azonban ekkor nehézséget jelent számukra, hogy a bankok titkosított kommunikációt alkalmaznak. A CERT szerint ezt a védelmet egyebek mellett úgynevezett SSL stripping technikával próbálják megkerülni. Ekkor az elkövetők azt használják ki, hogy egyes bankok nem a teljes webhelyük vonatkozásában alkalmaznak SSL-titkosítást, hanem csak az ügyféloldalaik esetében. Ilyenkor a felhasználó először letölti - HTTP-n keresztül - a weboldalt, majd egy linkre kattintva felkeresi a bejelentkezési oldalt. A csalók ekkor lépnek színre, és közbeékelődés útján valójában ők veszik fel a kapcsolatot a banki szerverekkel, miközben gondoskodnak arról, hogy a felhasználó böngészőjében minden a szokott módon jelenjen meg. Ezáltal megkaparinthatják a bejelentkezési adatokat, sőt tranzakciókat hamisíthatnak vagy manipulálhatnak. A biztonsági szakemberek felhívták a figyelmet arra, hogy ha egy ilyen közbeékelődéses támadás történik, akkor a webböngészőben nem jelenik meg a biztonságos adatkapcsolatokra utaló lakat, zöld címsor stb. Azért, hogy lehetőleg ez se keltsen feltűnést, a támadók a böngésző címsorában megjelenő webcím elé beszúrnak egy "ssl-" előtagot.

A CERT azt nem árulta el, hogy pontosan milyen sebezhetőségek játszottak szerepet az eddigi károkozásokban, de a következő gyártóktól származó egyes routerek érintettek lehetnek: ZyXEL, TP-Link, ZTE, D-Link.

Hogyan védekezzünk?

Az otthoni routereket célzó támadások elleni védekezés során a legfontosabb, hogy változtassuk meg a hálózati eszköz alapértelmezett jelszavát. Ezt követően rendszeresen meg kell győződni arról, hogy a gyártó adott-e ki frissítéseket (újabb firmware verziókat), amelyeket érdemes mihamarabb telepíteni. Mindezek mellett pedig le kell tiltani a routerek adminisztrációs felületének internet felöli elérését.