2008-01-24

首例「偷渡式網址轉接」攻擊在墨西哥確認

First case of "drive-by pharming" identified in the wild
http://www.networkworld.com/news/2008/012208-drive-by-pharming.html

By Ellen Messmer, Network World, 01/22/08

這個理論現在成真了。Symantec 在週二報「偷渡式網址轉接(drive-by pharming)」,其中駭客更改客戶寬頻路由器或無線網路 AP 的 DNS 設定並將連線導向詐騙網站,已在外面被觀察到。

第一個偷渡式網址轉接攻擊在一家墨西哥銀行被觀察到:"它與一封 e-mail 相關,它佯裝成自一家合法西班牙語電子賀卡公司,Gusanito.com,寄出的信," Symantec Security Response 的首席研究者 Zulfikar Ramzan 說。在 e-mail 當當中是一個 HTML 影像標籤,但它並非顯示影像,相反的它送出一個請求到自家路由器上,並企圖篡改它。

在 Symantec 所檢查過的 e-mail 證據中,程式碼會企圖篡改 2Wire DSL 路由器,將使用者的網頁指向一個假的銀行網站,該網站模仿墨西哥境內最大一家銀行之一。Ramzan 拒絕指出是哪家銀行。"所以,每當你想要連到銀行網站時,你不是連到真的,而是攻擊者的假網站," 他說。對於家庭 PC 使用者來說,危險性在於這種偷渡式網址轉接 "如此地安靜,而且這裡只有難以捉摸的證據指出這種事正在發生," 他補充道。

去年一篇來自於 Symantec 與 Indiana 資訊學系的白皮書創造出這個新詞。在那時,研究者詳述基於 JavaScript 的安全威脅,並表示這樣的攻擊能夠衝擊多達 50% 的寬頻家庭用戶。

偷渡式網址轉接之所以能夠發生是因為家庭的路由器設備通常沒有更改預設的登入帳號與密碼。"攻擊者知道預設密碼是什麼," Ramzan 說。最簡單的防禦措施是確保家中任何品牌路由器的預設密碼已經更改。

企業路由器通常不會這麼容易受到偷渡式網址轉接所害,"因為它們通常都受到更好的管理," 他說。

Ramzan 補充,他預期當線上攻擊者從「傳統的」e-mail 釣魚轉移到更新的方法後,偷渡式網址轉接攻擊將會成長。

※ 相關報導:

『隱私國際』公佈 2007 年報告
釣魚新法:DNS 偽造網址轉接
讓瀏覽器不受 DNS Rebinding 攻擊
調查:網路像叢林/Apache 地位開始動搖
Java Popups 危險無法擋
垃圾郵件非法炒股日益增多
天才駭客替黑幫盜資料 代客打仗傭兵年值4兆
從刷卡安全有漏洞 到肺結核個資外洩
駭客使用各大網站橫幅廣告綁架你的電腦
駭客攻入美國國家實驗室
台灣販售的全新硬碟 暗藏木馬病毒
新臭蟲威脅 HP 旗下大部分筆電
鬼鬼祟祟的 MBR rootkit

沒有留言: