Przestępcy dążą do wyłudzenia danych służących klientom do logowania się na stronach internetowych banków, jak również jednorazowych kodów autoryzacyjnych, a w efekcie do kradzieży pieniędzy z kont ich właścicieli. Swoistą nowością prowadzonych obecnie ataków jest sposób łączenia się serwera pośredniczącego z bankiem. Obecnie połączenie jest dodatkowo przekierowywane na któryś z przejętych routerów, przez co przestępcy jeszcze skuteczniej maskują swoją działalność.
O niebezpiecznym zjawisku zespół CERT Polska informował już w lutym 2014 roku. Wówczas przestępcy wykorzystywali podatność routerów domowych, umożliwiających zdalną zmianę ich konfiguracji. W efekcie mogli modyfikować systemy serwerów przechowujących dane na temat adresów domen (tzw. serwery DNS) i przekierowywać ruch na serwery będące pod ich kontrolą. To oznaczało, że użytkownik, który próbował połączyć się np. z serwerem swojego banku, zostawał w sposób niezauważony przenoszony na podstawioną maszynę. Przestępca uzyskiwał wówczas dostęp do przesyłanych danych i mógł fałszować odpowiedzi niektórych domen bankowych, np. poprzez dodanie dodatkowej zawartości, żądania potwierdzenia kodem jednorazowym czy zmiany numeru konta. Eksperci zwracali wówczas uwagę na to, że ataki były dokonywane pomimo skutecznie działających zabezpieczeń, które wykorzystują strony bankowe. Chodziło przede wszystkim o protokół SSL używany do bezpiecznych połączeń internetowych, zapewniający poufność transmisji przesyłanych danych.
Badając incydenty zgłoszone przez użytkowników, eksperci zespołu CERT Polska odkryli kolejną kampanię ataków na bankowość internetową prowadzoną poprzez przejmowanie routerów klienckich. Przestępcy wprowadzili do niej istotną modyfikację. W poprzednio obserwowanych przypadkach, połączenie do banku było wykonywane bezpośrednio z przestępczego serwera. Teraz połączenie jest jeszcze przekierowywane przez któryś z przejętych routerów. W ten sposób przestępcy utrudniają wykrycie swojej działalności, ponieważ połączenia z bankiem wykonywane są z adresów sieci domowych czy biurowych i nie budzą podejrzeń o manipulację.
CERT Polska informuje, że użytkownik może w kilku prostych krokach zabezpieczyć się przed opisywanym zagrożeniem. Wystarczy wyłączyć możliwość konfigurowania routera “z zewnątrz”, tj. z sieci internet. Należy także bezwzględnie zmienić domyślne dane logowania do panelu konfiguracyjnego. Szczegółowy opis tych czynności powinien się znajdować w instrukcji obsługi routera. Warto też rozważyć instalację aktualizacji oprogramowania routera, jeżeli została udostępniona przez producenta. Niektóre urządzenia nie wykonują takich aktualizacji automatycznie, co oznacza, że należy ręcznie sprawdzić dostępność łat na stronie producenta i w razie potrzeby zainstalować je zgodnie z instrukcją.
