hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
12 czerwca 2018

Warto znać swoje DNSy

W ostatnich tygodniach w sieci Orange Polska obserwuje znaczny wzrost prób połączeń z adresami IP, skojarzonymi z zagrożeniem Fake DNS. To efekt ataków, polegających na podmianie adresów serwerów DNS, głównie w domowych routerach (czasem atakowane są również przeglądarki internetowe). DNS (Domain Name System) swego rodzaju „książka adresowa”, serwery tłumaczące wpisywane przez nas adresy stron (np. www.orange.pl) na zrozumiałe przez urządzenia sieciowe adresy IP (np. 80.48.169.1). Ryzyko jest oczywiste – jeśli ktoś podmieni książkę adresową, wpisując adres www.mojbank.pl możemy zostać przekierowani na stronę podstawioną przez przestępców, którzy skwapliwie skorzystają z naszego loginu i hasła. Można również, podstawiając użytkownikowi fałszywą stronę, znaleźć podatności na urządzeniach w jego sieci, zainfekować je i przejąć nad nimi kontrolę.

Czy muszę się bać?

Analizy wskazują, że w ramach zagrożenia Fake DNS przestępcy obecnie wstrzykują na stronach swoje reklamy, nabijając sobie kieszeń za ich wyświetlenia. W każdej chwili mogą jednak „uzbroić” botnet i wziąć się do poważniejszych ataków. Na Fake DNS podatne są przede wszystkim urządzenia, w których użytkownik pozostawił bez zmian domyślny login i hasło dostępu (np. admin/admin). Nierzadko przestępcy uzyskują dostęp do urządzenia bezpośrednio z internetu. Zablokowanie dostępu z sieci do naszego routera nie musi jednak wystarczyć, bowiem sieciowi obwiesie mogą wykorzystać podatność w urządzeniu po wejściu na odpowiednio spreparowaną złośliwą stronę, bądź zmiany może dokonać zainstalowane w naszej sieci lokalnej złośliwe oprogramowanie. Urządzenia Funbox 2, Funbox 3 i Livebox 2.0, z których korzystają klienci Orange Polska, właśnie ze względów bezpieczeństwa nie umożliwiają zmiany adresu serwera DNS, korzystając na stałe z infrastruktury Orange Polska.

Celem lwiej większości obserwowanych przez CERT Orange Polska ataków są domowe routery. Na urządzeniach marki TP-Link przestępcy zmieniają adres serwera DNS na 185.162.9.197, zaś adres 38.134.121.95 powiązany jest z urządzeniami firmy Draytek.

Jak sprawdzić, czy moje urządzenie jest przejęte?

Tego typu ataki są trudne do wykrycia, ponieważ nie muszą wiązać się z aktywnością złośliwego oprogramowania, a na dodatek przestępcy często nie zmieniają adresu drugiego serwera DNS. Należy więc przede wszystkim sprawdzić poprawność konfiguracji routera. Adresy serwerów znajdziesz na stronach Twojego dostawcy internetu, dla Orange Polska są 194.204.152.34 (główny/primary) oraz 194.204.159.1 (zapasowy/secondary). Warto też sprawdzić ustawienia adresów DNS w innych urządzeniach, korzystających z naszej sieci lokalnej. Przykładowo dla systemu Windows można sprawdzić za pomocą polecenia (Start -> Uruchom -> cmd.exe -> ipconfig /all). Jeśli gdzieś w Waszej sieci urządzeniu znaleźliście szkodnika (a przede wszystkim jeśli chcecie uniknąć tego ryzyka), bezwarunkowo należy:

  • zmienić hasło do panelu administracyjnego na silne i unikalne
  • wyłączyć dostęp do panelu zarządzania routerem od strony internetu (wskazówki znajdziesz w instrukcji obsługi routera)
  • sprawdzić, czy nie pojawiła się aktualizacja oprogramowania routera i aktualizować go regularnie

Jeśli Wasza sieć była zainfekowana, nie zaszkodzi też przeskanować pod kątem wirusów wszystkich podłączonych do niej urządzeń.

CyberTarcza na ratunek

Według statystyk CERT Orange Polska, 87,3% użytkowników naszych usług (Neo) korzysta z serwerów DNS Orange Polska. 7,3 procenta wybrało serwery Google, zaś niewiele ponad 5 na stu użytkowników korzysta z innych rozwiązań (część niestety wbrew swojej wiedzy z tych złośliwych). Przewagą infrastruktury Orange Polska jest przede wszystkim objęcie ochroną CyberTarczy. Klienci usług Orange Polska mogą spać spokojnie, bowiem połączenia do powyższych adresów objęte są tzw. sinkholingiem, co oznacza, że połączenia do nich są blokowane, a zainfekowane urządzenia są automatycznie przekierowywane na serwery DNS Orange Polska. W przypadku zmiany sieci (bądź wykorzystywanych serwerów DNS) nie możemy zagwarantować tego typu ochrony. W najbliższym czasie ci z użytkowników Neostrady, którzy padli ofiarą Fake DNS mogą spodziewać się informacji z CyberTarczy w swoich przeglądarkach, a wszystkim proponujemy regularne zaglądanie na stronę https://cert.orange.pl/cybertarcza i sprawdzanie stanu swojej domowej sieci.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

19 kwietnia 2024
Jak stracić pieniądze dwa razy, czyli kancelaria jak z Incepcji
Dowiedz się więcej
8 kwietnia 2024
Poznaj swoją podatność – CVE-2024-1597
Dowiedz się więcej
5 kwietnia 2024
Czy Twoje dziecko gra w (czat) ruletkę?
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas