Nytt hackerangrep setter nettbanken i fare

Sender intetanende brukere til falske versjoner av nettbanken.

300 000 rammet

Du sitter ved datamaskinen og surfer nettet som normalt. En regning har kommet i postkassen, eller kanskje poden trenger å få overført litt penger. Derfor taster du inn adressen til nettbanken din, og så langt ser alt normalt ut.

Du har imidlertid kommet til en falsk, men tro kopi av nettbanken, hvor en bande utenlandske hackere sitter og fanger opp alle innloggingsdetaljer du taster inn, og bruker dem til å bryte seg inn i nettbanken din. Akkurat dette skjer nå sannsynligvis med brukere verden over, takket være et pågående globalt hackerangrep.

300 000 hjemmerutere rammet

Det er sikkerhetsforskere i selskapet Team Cymru som forteller at det siden midten av desember har pågått datainnbrudd over hele verden, og 300 000 vanlige trådløs-rutere for hjemmebruk og små bedrifter er til nå bekreftet hacket.

Hver eneste av disse ruterne kan potensielt gjøre slik at når du forsøker å besøke en Internettadresse blir du – uten å vite det – videresendt til en falsk utgave av nettsiden du tenkte deg til. Rutere fra ZyXEL, D-Link, Micronet, Tenda og TP-Link nevnes som noen av dem som er bekreftet rammet.

Forskerne peker på at angrepet likner på et svært målrettet angrep tidligere i år, hvor hackere brukte en teknikk helt lik den vi beskrev: Forvirrede kunder fikk ikke logget på nettbankene sine, og mottok en SMS fra «banken» hvor de måtte svare med en ny engangskode. Det var alt hackerne trengte for å tømme kontoen.

Sikkerhetshull i startpakker

Det tidligere angrepet skjedde med polske mBank sine kunder, men det pågående angrepet holder seg ikke til Polen. Team Cymru forteller at rammede rutere er spredt utover hele verden, og at Europa og Asia er særlig hardt rammet.

Forskerne mener spredningen kan henge sammen med at noen Internettleverandører sender ut sårbare rutere som en del av «startpakkene» til sine kunder. Det er likevel ingen hindring for hackerne om du har skaffet ruteren din selv, dersom den først er sårbar.

Her kan du lese hvordan du gjør nettverket ditt trygt:
Slik sikrer du den trådløse ruteren din » (Hardware.no)

– Nytt at de «drar hjem til folk»

Hans Marius Tessem i NorSIS sier det er nytt at hackerne går etter hjemmeruterne til folk.Foto: Norsis

At hackere ønsker å snappe opp vanlige folks nettbank-detaljer er ikke noe nytt, men den typen angrep vi nå er vitne til har så langt vært sjeldne. Det forteller seniorrådgiver Hans Marius Tessem i NorSIS – Norsk Senter for Informasjonssikring.

– Dette er forsåvidt ikke noe nytt, og vi har sett liknende opplegg på flyplasser og slike steder. Noen setter opp en åpen ruter som utgir seg for å være noe offisielt, og bruker en ondsinnet DNS-server for å styre trafikken til de som kobler seg på. Det nye her er at de går etter hjemmeruterne til vanlige folk, sier Tessem.

Han understreker at det er viktig å holde ruterne sine oppdatert, akkurat som alt annet utstyr man bruker, men vedgår at dette er noe mange oppfatter som for teknisk til at de kan forholde seg til det.

NorSIS kan ikke si noe om hvor mange som er rammet av det pågående angrepet her til lands.

– Det er umulig å vite akkurat hvor mange nordmenn som kan være rammet. Ingen vet hvor mange som sitter med hvilke rutere, og deretter hvilken fastvare-versjon de har – og om de har satt et eget passord i nettverksruteren sin, forteller Tessem.

Les også: Slik sikrer du den nye mobilen din

Slik sikrer du deg

Hackerne later til å bruke en rekke forskjellige teknikker for å ta kontroll over ruterne, men en av måtene de illustrerer er faretruende enkel. En datamaskin som er koblet på Internett gjennom ruteren blir smittet av en liten kodesnutt, som i sin tur logger seg på ruterens administrasjonsside i det skjulte.

Slik fungerer ruterangrepet – en datamaskin plukker opp en ondsinnet kodesnutt fra nettet og endrer automatisk ruterens innstillinger. Deretter lures alle brukerne av nettverket inn på falske nettsider.Foto: Team Cymru

Deretter blir en rekke innstillinger endret – administratorpassord nullstilles, DNS-servere skiftes over til hackernes egne, og selv det trådløse passordet kan endres på.

Resultatet av at DNS-serverne endres er imidlertid det åpenbart farligste, siden dette gjør at hver eneste PC og mobiltelefon som er koblet til ruteren nå besøker de nettsidene hackerne vil at de skal besøke.

For de fleste nettsider vil alt fungere som normalt. Du kan skrive «google.com» i adresselinjen, og komme rett til Google sin søkemotor, og du kan skrive «hw.no» og ende på Hardware.no. Enkelte utvalgte adresser vil imidlertid kunne sende deg til en falsk kopi, så selv om det står «nettbanken-din.no» i adressefeltet er det en helt annen nettserver som leverer sidene du ser – og tar imot detaljene du taster inn.

Måten hackerne får tilgang på er for de fleste helt usynlig:
Her viser han hvordan du får virus fra vanlig nettsurfing »

Slik sikrer du deg

Sårbarhetene som utnyttes, og som gjør det mulig for hackerne å endre innstillingene i ruterne, er imidlertid ikke ukjente sikkerhetshull. Det er mulig å sikre seg mot angrep, ifølge Team Cymru:

  • Oppdater fastvaren
    Det gjør du ved først å oppdatere ruterens fastvare, eller «firmware» på engelsk. Det gjør du som regel på ruterens administrasjonsside, og produsentens nettside kan være til hjelp her.
  • Slå av fjernadministrasjon
    Du bør også slå av fjernadministrasjon dersom det er påslått som standard, da det vil gjøre det vanskeligere for hackere å få direkte tilgang til ruterens innstillinger utenfra. Dersom du er helt avhengig av å ha fjernadministrasjon på, bør du legge til en liste over godkjente IP-adresser som vil være de eneste som får tilgang.
  • Sett sikre passord
    For å forhindre hackerne i å bryte seg inn på ruteren gjennom din egen PC vil det dessuten hjelpe mye å sette sikre passord for nettverket og ruterens administrasjonsside, siden slikt vil nekte hackerne tilgang gjennom standardpassordene fra produsentene.

Det er skremmende enkelt å cracke trådløse nettverk:
Slik sikrer du den trådløse ruteren din »

Slik sjekker du om du er rammet

Å sikre ruteren sin med ny fastvare vil i de fleste tilfeller overskrive en angripers ondsinnede DNS-innstillinger, men det er en teoretisk mulighet for at de som er rammet må fikse dette selv.

Dersom du har sørget for at nettverket ditt er sikret, kan du enkelt finne ut om det er noen som allerede har sneket inn en ondsinnet DNS-server i ruteren din. Ved å navigere til innstillingssiden for ruteren og finne DNS-innstillingene dens, skal du få opp en oversikt over hvilke DNS-servere den er satt opp til å bruke.

Team Cymru sine sikkerhetsforskere har identifisert IP-adressene 5.45.75.11 og 5.45.76.36 som de to DNS-serverne som hackerne har skiftet ofrenes rutere til å benytte, og dersom du finner noen av disse i ruterinnstillingene dine er det bare å bytte dem om til noe tryggere før du surfer videre på nett.

Trygge DNS-adresser kan du få ved å spørre Internettleverandøren din, og alternativt vil for eksempel Google sine DNS-servere kunne fungere fint. Disse har adressene 8.8.4.4 og 8.8.8.8, og kan i det minste gi deg trygt nett mens du venter på svar fra din Internettleverandør.

Det er bare uker siden et annet ruter-sikkerhetshull ble avdekket i Norge:
Sikkerhetsekspert mener produsenten har sluppet billig unna ansvaret »

(Kilde: Team Cymru)

Les også
100 hackere arrestert i storstilt politiaksjon
Les også
Android i versjon 4.1.1 er fortsatt i fare
Les også
Sprer ondsinnet programvare med falsk video av det forsvunnede flyet
Les også
Ny svindel: Nå bruker de Netflix for å lure deg
Les også
Lurer Android-brukere med falske apper
Les også
Slik sikrer du den nye mobilen din
annonse