Reenvío del sitio web del banco al disco duro formateado del sitio falso - todavía hacia adelante

7

Resumen:

Cuando visito el sitio web de mi banco, me remiten a un sitio espejo de phishing.

  • Esto ha persistido a través de un cambio de formato de mi MacBook.
  • ¡Incluso en diferentes navegadores!
  • Otras computadoras en la misma red no tienen este problema, por lo que no creo que sea el enrutador.
  • Visitar el sitio de mi banco a través de una VPN funciona bien, por lo que tampoco parece ser un virus.

¿Qué podría estar pasando aquí?

Historia completa:

Hace unas semanas, mi cuenta bancaria fue hackeada. Había escrito la url en el sitio web de mi banco y me la enviaron a un sitio espejo sin darme cuenta, donde coloqué estúpidamente los detalles de mi cuenta. Esto estaba usando Chrome en un MackBook Pro. Fui al banco para presentar un reclamo por fraude y me dijeron que debía ser mi computadora porque nadie más ha informado sobre este problema.

Formateé mi computadora portátil siguiendo estas instrucciones: enlace

Regresé al sitio web del banco y ¡todavía fui reenviado al sitio espejo! (Ahora que lo estoy buscando, puedo decirlo porque la URL es ligeramente diferente y no https). Así que probé en diferentes navegadores, porque recordé que en el pasado este banco usaba certificados digitales, así que quizás haya uno guardado en mi configuración de Chrome en algún lugar que haya sido comprometido. (Intenté la navegación anónima, además de Safari, e incluso descargué e intenté el navegador Epic) y aún así me reenvío al sitio falso.

En la computadora portátil de mi cuñado en el mismo enrutador / LAN, va al sitio web del banco correspondiente sin reenvío.

¡Pero si visito el sitio web a través de una VPN, no me reenvía al sitio falso! ¿Qué diablos? ¿Hay un virus en mi computadora? Seguramente si fuera local, la VPN no haría ninguna diferencia? Pero si estuviera al final del banco, ¡no me estaría sucediendo solo a mí! Estoy confundido y preocupado por mi seguridad en línea ahora. ¿Alguien puede arrojar alguna luz sobre lo que podría estar pasando aquí?

ACTUALIZACIÓN:

Lo primero que hice fue hacer ping a la URL del banco desde ping.eu y devolvió una dirección que comienza con 186 ... Cuando copio esta IP en mi barra de URL, dice que "no se puede acceder al sitio. [IP Dirección] tomó demasiado tiempo para responder "

Luego hice ping a la misma URL desde "utilidad de red" en mi macbook, ¡y devolví una dirección IP diferente! Cuando copié este en mi barra de URL, recibí una página de Chrome que decía "¡Error de seguridad! Sitio web engañoso por delante".

Mi servidor dns aparece como 192.168.0.1 - totalmente normal, ¿verdad? ¿Así que es el router? ¿Pero la computadora portátil de mi B-I-L no tiene el problema? ¿¿Qué significa esto?? ¿Y qué debo hacer?

Otra actualización:

Después de la ayuda que me brindaron en el enrutador y en los problemas de DNS, busqué en Google "cómo detectar un ataque mitm". Revisé la configuración de dns en el enrutador, y tiene marcada la casilla "usar estos servidores dns", con dos direcciones IP aleatorias completadas. Desmarqué la casilla, fui al sitio web de mi banco y ¡listo! No hay sitio de phishing.

¿Entonces hackearon mi enrutador? Ni siquiera sabía que era posible, pero ahora que lo pienso, se puede acceder de forma remota a través de la LAN y el nombre de usuario / contraseña es el predeterminado del fabricante. ¿Será suficiente con un reinicio completo del enrutador y luego cambiar el nombre de usuario / contraseña?

Otra pregunta es, ¿cómo obtuvieron acceso a mi enrutador en primer lugar? ¿Debería mi BIL formatear su computadora portátil en caso de que fuera un virus?

    
pregunta Tom 06.04.2016 - 18:33
fuente

4 respuestas

4

Un método de ataque común consistente con sus síntomas es el secuestro de DNS, que es cualquier medio que un atacante usa para convencer a su computadora de que el sitio web de su banco, "www.mybank.com", está en realidad en una IP que es un servidor bajo su control en lugar de la IP bajo el control de su banco. Cuando escribe esto en cualquier navegador, se dirige al servidor malintencionado que luego le muestra una página muy parecida a la página de su banco, esperando que inicie sesión sin saber la diferencia.

Un enrutador comprometido podría hacer que sus solicitudes de DNS fluyan a través de él y, por lo tanto, ser reemplazadas por direcciones IP maliciosas cuando se devuelvan, mientras que el uso de una VPN lo omitirá y le mostrará el sitio correcto. Además, es posible que otro dispositivo en su red no use el enrutador local como su servidor DNS, lo que también podría hacer que no caiga en el mismo ataque basado en enrutador.

Para saber si es un problema de DNS, desde la computadora afectada intente hacer ping al nombre de host básico (primera parte de la URL) de su banco, vea qué IP vuelve. Luego, verifique que la propiedad de las IP en un sitio como arin.net, si no es de su banco o de un proveedor de CDN de buena reputación, sepa que tiene un alto secuestro de DNS.

También puede probarlo pegando la IP encontrada en la barra de su navegador y ver qué sucede, pero como su navegador puede mostrarle una página que se parece al sitio de su banco, no es concluyente a menos que mire a fondo el TLS. Información del certificado para asegurarse de que realmente es su banco. Otro posible resultado es que marcará el nuevo sitio como malicioso (si intenta algo como mostrarle una página cifrada TLS con un certificado no válido) pero eso tampoco está garantizado.

Editar: más sobre los compromisos del enrutador

El atacante tiene algunas formas posibles de obligar a su enrutador a hacer algo que no desea: simplemente puede iniciar sesión de forma remota, lo cual es especialmente fácil si el enrutador está expuesto a Internet (muchos lo hacen) y las credenciales son las siguientes. por defecto (muchos son). Ambos deben evitarse en todo momento. Algunos enrutadores han tenido vulnerabilidades de firmware que permiten a un atacante omitir la contraseña; El firmware actualizado debe buscarse y aplicarse con frecuencia. Las vulnerabilidades basadas en el navegador también son posibles: una pieza de malware en un sitio, un anuncio, etc. irán tras las IP / credenciales predeterminadas de su enrutador, evitando las restricciones de acceso externo al usar su propia computadora para hacerlo, y luego escribirán un cambio como configurando los servidores DNS como maliciosos.

Otra simple mitigación de la configuración de enrutadores primitivos que secuestran esfuerzos como este también es simplemente configurar la computadora para que use un host DNS específico, como el venerable 8.8.8.8 (la red de servidores DNS altamente disponible en Google), que aún es posible para secuestrar si su enrutador está 100% comprometido y todo el tráfico del puerto 53 UDP se redirige, pero los ataques más simples como la configuración no pueden hacerlo, por lo que se bloquearía de manera efectiva.

    
respondido por el Jeff Meden 06.04.2016 - 19:47
fuente
2

Parece ser un ataque Man In The Middle con suplantación de DNS. Le sugiero que realice un ping desde un servicio en línea como esto y verifique la dirección IP del sitio. Luego escríbalo en la barra de URL de su navegador y verifique si obtiene un redireccionamiento al sitio web falso.

    
respondido por el Cricco95 06.04.2016 - 19:03
fuente
2
  

¿Entonces hackearon mi enrutador? Ni siquiera sabía que eso era posible, pero   Ahora que lo pienso, es accesible de forma remota en la LAN y   El nombre de usuario / contraseña es el predeterminado del fabricante. Será un reinicio duro   del enrutador y luego cambiar el nombre de usuario / contraseña será suficiente   ahora?

  1. Descargue el firmware más reciente para su enrutador a una computadora. Analizar en busca de malware.
  2. Desconecte el enrutador de todos los dispositivos de la red, excepto la computadora que contiene la actualización del firmware. Si su enrutador admite la actualización de firmware desde un dispositivo USB, esto es aún mejor (ya que puede desconectar todos dispositivos de red).
  3. Restablecer el enrutador a los valores predeterminados de fábrica.
  4. Actualice el firmware y cambie la contraseña de admin / root account (y cambie el nombre de la cuenta también, si es posible).
  5. Ingrese su configuración de red nuevamente y vuelva a conectar todos los dispositivos de red.
  

Otra pregunta es, ¿cómo obtuvieron acceso a mi enrutador en el   ¿primer lugar? En caso de que mi BIL también formatee su portátil en caso de que fuera un   virus?

Hay muchos vectores de ataque posibles, pero lo más probable es que sea un atacante externo que haya utilizado una vulnerabilidad conocida en el firmware del enrutador. El parcheo del firmware debería arreglar cualquier vulnerabilidad de este tipo. Si este es el caso, también me parece menos probable que el software malicioso sea responsable de esto ... pero es mejor errar por el lado seguro. Debe realizar análisis de malware de todos los dispositivos de red aplicables.

Si el enrutador tiene alguna configuración que indique la posibilidad de iniciar sesión o administrar el enrutador desde una dirección externa (lado WAN), esta configuración siempre debe estar deshabilitada a menos que tenga necesidades específicas para esto y sepa cómo protegerse. acceso no autorizado.

    
respondido por el Vegard 07.04.2016 - 10:21
fuente
1

Esta es una sugerencia para tratar de reducir dónde puede estar el problema. En Chrome, sugiero abrir una ventana de incógnito y luego abrir las herramientas del desarrollador. Cambia a la pestaña de la red. Escribe la URL correcta en Chrome y pulsa enter. Si la solicitud en la pestaña de la red tiene una URL incorrecta, entonces algo en su computadora está cambiando la URL (¿quizás un complemento erróneo que se está instalando automáticamente en varios navegadores?). Si obtiene un 302 de vuelta, entonces el problema no está en su máquina. En ese caso, algo está devolviendo una respuesta maliciosa. Esto puede ayudarte a enfocar tu esfuerzo de investigación.

    
respondido por el md_1976 06.04.2016 - 19:17
fuente

Lea otras preguntas en las etiquetas