Resumen:
Cuando visito el sitio web de mi banco, me remiten a un sitio espejo de phishing.
- Esto ha persistido a través de un cambio de formato de mi MacBook.
- ¡Incluso en diferentes navegadores!
- Otras computadoras en la misma red no tienen este problema, por lo que no creo que sea el enrutador.
- Visitar el sitio de mi banco a través de una VPN funciona bien, por lo que tampoco parece ser un virus.
¿Qué podría estar pasando aquí?
Historia completa:
Hace unas semanas, mi cuenta bancaria fue hackeada. Había escrito la url en el sitio web de mi banco y me la enviaron a un sitio espejo sin darme cuenta, donde coloqué estúpidamente los detalles de mi cuenta. Esto estaba usando Chrome en un MackBook Pro. Fui al banco para presentar un reclamo por fraude y me dijeron que debía ser mi computadora porque nadie más ha informado sobre este problema.
Formateé mi computadora portátil siguiendo estas instrucciones: enlace
Regresé al sitio web del banco y ¡todavía fui reenviado al sitio espejo! (Ahora que lo estoy buscando, puedo decirlo porque la URL es ligeramente diferente y no https). Así que probé en diferentes navegadores, porque recordé que en el pasado este banco usaba certificados digitales, así que quizás haya uno guardado en mi configuración de Chrome en algún lugar que haya sido comprometido. (Intenté la navegación anónima, además de Safari, e incluso descargué e intenté el navegador Epic) y aún así me reenvío al sitio falso.
En la computadora portátil de mi cuñado en el mismo enrutador / LAN, va al sitio web del banco correspondiente sin reenvío.
¡Pero si visito el sitio web a través de una VPN, no me reenvía al sitio falso! ¿Qué diablos? ¿Hay un virus en mi computadora? Seguramente si fuera local, la VPN no haría ninguna diferencia? Pero si estuviera al final del banco, ¡no me estaría sucediendo solo a mí! Estoy confundido y preocupado por mi seguridad en línea ahora. ¿Alguien puede arrojar alguna luz sobre lo que podría estar pasando aquí?
ACTUALIZACIÓN:
Lo primero que hice fue hacer ping a la URL del banco desde ping.eu y devolvió una dirección que comienza con 186 ... Cuando copio esta IP en mi barra de URL, dice que "no se puede acceder al sitio. [IP Dirección] tomó demasiado tiempo para responder "
Luego hice ping a la misma URL desde "utilidad de red" en mi macbook, ¡y devolví una dirección IP diferente! Cuando copié este en mi barra de URL, recibí una página de Chrome que decía "¡Error de seguridad! Sitio web engañoso por delante".
Mi servidor dns aparece como 192.168.0.1 - totalmente normal, ¿verdad? ¿Así que es el router? ¿Pero la computadora portátil de mi B-I-L no tiene el problema? ¿¿Qué significa esto?? ¿Y qué debo hacer?
Otra actualización:
Después de la ayuda que me brindaron en el enrutador y en los problemas de DNS, busqué en Google "cómo detectar un ataque mitm". Revisé la configuración de dns en el enrutador, y tiene marcada la casilla "usar estos servidores dns", con dos direcciones IP aleatorias completadas. Desmarqué la casilla, fui al sitio web de mi banco y ¡listo! No hay sitio de phishing.
¿Entonces hackearon mi enrutador? Ni siquiera sabía que era posible, pero ahora que lo pienso, se puede acceder de forma remota a través de la LAN y el nombre de usuario / contraseña es el predeterminado del fabricante. ¿Será suficiente con un reinicio completo del enrutador y luego cambiar el nombre de usuario / contraseña?
Otra pregunta es, ¿cómo obtuvieron acceso a mi enrutador en primer lugar? ¿Debería mi BIL formatear su computadora portátil en caso de que fuera un virus?