Qual è la minaccia più comune su Internet al giorno d’oggi? Ebbene sì, è ancora il phishing, ma ultimamente è emerso anche il phishing che coinvolge i router, per il quale non c’è bisogno di abboccare a truffe via e-mail. Di fatto potete seguire tutta una serie di norme standard (non utilizzare Wi-Fi, controllare i link prima di cliccarci etc.), ma queste regole purtroppo servono a poco quando si parla di phishing via router.

Come si arriva all’hackeraggio dei router

Secondo Kaspersky Lab ci sono essenzialmente due modi per hackerare un router. Il primo è approfittando delle credenziali di default. Ogni router, infatti, ha una password da amministratore che serve per collegarsi al pannello di gestione e per modificare le impostazioni. Sebbene ci siano alcuni utenti che cambiano questa password, in molti non lo fanno e così, quando si lascia la stessa password di default impostata dalla casa produttrice del router, qualcuno può risalirvi dall’esterno (a volte persino Google).

La seconda tecnica è quella di sfruttare una vulnerabilità nel firmware del router (e sappiamo che ce ne sono tante) che consenta di prenderne il controllo senza aver bisogno di password. In entrambi i casi i cybercriminali possono lavorare da remoto, effettuando operazioni in automatico e su vasta scala. I router hackerati possono servire per tanti scopi, ma qui ci occuperemo solo del phishing, che tra l’altro è molto difficile da individuare.

In che modo si possono utilizzare i router hackerati per il phishing?

Dopo aver preso il controllo del router, i cybercriminali modificano gli indirizzi dei server DNS che il router utilizza per risolvere i nomi di dominio. Si tratta di un piccolo cambiamento difficile da notare ma estremamente pericoloso. Quando viene hackerato il router e vengono cambiati gli indirizzi del server DNS, tutte le vostre richieste vanno su un server DNS controllato dai cybercriminali.

phishing

E invece di ottenere l’indirizzo IP del sito che volete visitare, il server dannoso invia un indirizzo IP falso. In sostanza, i cybercriminali ingannano il browser (non voi) caricando una pagina di phishing al posto del sito che stavate cercando. Il peggio, però, è che sia voi, sia il browser pensate che si tratti della pagina legittima.

Nell’ultima ondata di questo tipo di attacchi gli hacker hanno sfruttato le falle di sicurezza presenti nei router D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech e TOTOLINK. I cybercriminali sono riusciti a entrare nei dispositivi e a modificare le impostazioni DNS. Nel momento in cui i proprietari dei router hackerati provavano a entrare nel proprio account del servizio di home banking o sui rispettivi siti, il server DNS dannoso sotto controllo dei cybercriminali reindirizzava silenziosamente alle pagine di phishing create apposta per rubare queste credenziali di accesso.

Durante questa campagna di attacchi i cybercriminali si sono concentrati soprattutto sugli utenti brasiliani, creando falsi siti simili in tutto e per tutto a quelli di enti finanziari brasiliani, banche, servizi di web hosting e fornitori di servizi su cloud con base in Brasile. I cybercriminali, inoltre, hanno colpito gli utenti di alcuni servizi Internet molto famosi, tra cui PayPal, Netflix, Uber e Gmail.

Come difendersi dal phishing via router

Di fronte a questo tipo di minaccia Kaspersky Lab suggerisce alcuni consigli da mettere in pratica per evitare di rimanere vittime di simili attacchi.

  • Collegatevi all’interfaccia web del router, cambiate le password di default e disattivate l’amministrazione da remoto e altre impostazioni pericolose
  • Aggiornate periodicamente il firmware del router, in quanto grazie agli aggiornamenti spesso si risolvono le vulnerabilità. Su alcuni modelli gli aggiornamenti vengono inviati automaticamente, ma in altri vanno installati in modo manuale. Cercate online informazioni sulla casa produttrice del router e verificate che il vostro router sia aggiornato
  • Anche quando visitate un sito a voi famigliare, prestate attenzione a eventuali dettagli insoliti e a finestre pop-up inaspettate. Cercate di cliccare su diverse sezioni del sito: è vero che le pagine di phishing sono curate fin nei minimi dettagli, ma è quasi impossibile che i cybercriminali riproducano un intero sito alla perfezione
  • Prima di digitare le vostre credenziali di accesso (o qualsiasi altro dato confidenziale), accertatevi di essere collegati a una connessione sicura (notando la presenza di https:// nell’URL) e verificate che il nome del certificato corrisponda al nome dell’ente in questione. Non dovete fare altro che cliccare sull’icona del lucchetto presente nella barra degli indirizzi. Con Edge o Internet Explorer visualizzerete subito le informazioni che vi servono riguardanti il certificato. Su Mozilla dovete cliccare su Ulteriori informazioni, mentre per Chrome cliccate sul lucchetto, poi su Certificato > Generale e verificate infine la sezione Rilasciato a.