一名安全研究人員上周五表示，黑客一直在利用DLink調制解調器路由器中的一個(gè)漏洞，將用戶(hù)發(fā)送到一個(gè)假冒的銀行網(wǎng)站，試圖竊取他們的登錄憑證。

此漏洞針對過(guò)去兩年未打補丁的DLink DSL-2740R、sl - 2640b、sl - 2780b、sl - 2730b和sl - 526b型號。正如“這里、這里、這里、這里”披露的那樣，該漏洞允許攻擊者遠程更改連接計算機用來(lái)將域名轉換為IP地址的DNS服務(wù)器。

根據安全公司Radware上周五上午發(fā)布的一份報告，黑客一直在利用這一漏洞，將試圖訪(fǎng)問(wèn)巴西兩家銀行網(wǎng)站(banco de Brasil的www.bb.com.br和Unibanco的www.itau.com.br)的人發(fā)送至惡意服務(wù)器，而不是這些金融機構運營(yíng)的網(wǎng)站。在這份報告中，Radware研究員帕斯卡·吉南斯寫(xiě)道:

攻擊是隱蔽的，因為用戶(hù)完全沒(méi)有意識到這種變化。劫持并不需要在用戶(hù)的瀏覽器中修改或更改url。用戶(hù)可以使用任何瀏覽器和常用的快捷方式，可以手動(dòng)輸入URL，甚至可以在iPhone、iPad、Android手機或平板電腦等移動(dòng)設備上使用。他或她仍然會(huì )被發(fā)送到惡意網(wǎng)站，而不是他們要求的網(wǎng)站，所以劫持有效地工作在網(wǎng)關(guān)級別。

Geenens告訴Ars, Banco de Brasil的網(wǎng)站可以通過(guò)未加密和未經(jīng)認證的HTTP連接訪(fǎng)問(wèn)，這阻止了訪(fǎng)問(wèn)者收到任何被重定向網(wǎng)站的惡意警告。使用更安全的HTTPS協(xié)議連接的用戶(hù)從瀏覽器收到一個(gè)警告，稱(chēng)數字證書(shū)是自簽名的，但他們可能被騙點(diǎn)擊了一個(gè)選項來(lái)接受它。除了自簽名證書(shū)之外，該網(wǎng)站是對真實(shí)網(wǎng)站的一個(gè)令人信服的惡搞。如果用戶(hù)登錄，他們的網(wǎng)站憑證就會(huì )被發(fā)送到發(fā)起攻擊的黑客那里。欺騙站點(diǎn)來(lái)自承載惡意DNS服務(wù)器的同一個(gè)IP地址。

試圖訪(fǎng)問(wèn)Unibanco的用戶(hù)被重定向到一個(gè)與惡意DNS服務(wù)器和假冒Banco de Brasil網(wǎng)站的IP地址相同的頁(yè)面。然而，那個(gè)頁(yè)面實(shí)際上并沒(méi)有欺騙這家銀行的網(wǎng)站，這表明它可能是一個(gè)尚未建立的臨時(shí)登錄頁(yè)面。在Geenens向服務(wù)器主機OVH報告了惡意DNS服務(wù)器和欺騙站點(diǎn)之后，該惡意操作于加州時(shí)間周五凌晨被關(guān)閉。由于惡意DNS服務(wù)器無(wú)法工作，連接到受感染DLink設備的用戶(hù)可能無(wú)法使用互聯(lián)網(wǎng)，除非他們更改路由器上的DNS服務(wù)器設置或重新配置連接設備以使用備用DNS服務(wù)器。