Qual è la minaccia più comune su Internet al giorno d’oggi? Ebbene sì, è ancora il phishing, niente di nuovo quindi. Eppure, ultimamente esiste anche il phishing che coinvolge i router, per il quale non c’è bisogno di abboccare a truffe via e-mail. Di fatto, potete seguire tutta una serie di norme standard (non utilizzare Wi-Fi, controllare i link prima di cliccarci etc.), ma nella situazione di cui vi parliamo oggi, queste regole purtroppo servono a poco. Diamo un’occhiata più da vicino alle tecniche di phishing che riguardano l’hackeraggio dei router.
Come si arriva all’hackeraggio dei router
In generale, ci sono due modi di base per hackerare un router; il primo è approfittando delle credenziali di default. Ogni router, infatti, ha una password da amministratore, non quella che utilizzate per collegarvi alla vostra rete Wi-Fi, ma quella che serve per collegarsi al pannello di gestione e per modificare le impostazioni.
Sebbene ci siano alcuni utenti che cambiano questa password, in molti non lo fanno: quando si lascia la stessa password di default impostata dalla casa produttrice del router, qualcuno può risalirvi dall’esterno (a volte persino Google).
La seconda tecnica è quella di sfruttare una vulnerabilità nel firmware del router (e sappiamo che ce ne sono tante) che consenta di prendere il controllo del router senza aver bisogno di password.
In entrambi i casi, i cybercriminali possono lavorare da remoto, effettuando operazioni in automatico e su vasta scala. I router hackerati possono servire per tanti scopi, ma ci occuperemo solo del phishing, che in questo caso è molto difficile da individuare.
In che modo si possono utilizzare i router hackerati per il phishing?
Dopo aver preso il controllo del router, i cybercriminali ne modificano le impostazioni. Si tratta di un piccolo cambiamento, difficile da notare: modificano gli indirizzi dei server DNS che il router utilizza per risolvere i nomi di dominio. Cosa significa e perché è pericoloso?
Il DNS (Domain Name System) è il pilastro di Internet. Quando digitate l’indirizzo di un sito nella barra degli indirizzi, il browser non sa esattamente come trovarlo, poiché i browser e i server web utilizzano indirizzi IP numerici e non i nomi di dominio a cui siamo abituati noi essere umani. Per arrivare a un sito, il percorso è più o meno il seguente:
- Il browser invia una richiesta a un server DNS;
- Il server DNS traduce l’indirizzo del sito da un formato leggibile per l’uomo a un indirizzo IP numerico e lo passa al browser;
- Il browser ora sa come trovare il sito e carica la pagina.
Il tutto accade in pochissimo tempo e dietro le quinte; tuttavia, quando viene hackerato il router e vengono cambiati gli indirizzi del server DNS, tutte le vostre richieste vanno su un server DNS controllato dai cybercriminali. E invece di ottenere l’indirizzo IP del sito che volete visitare, il server dannoso invia un indirizzo IP falso. In sostanza, i cybercriminali ingannano il browser (non voi) caricando una pagina di phishing al posto del sito che stavate cercando. Il peggio, però, è che sia voi, sia il browser pensate che si tratti della pagina legittima!
La truffa brasiliana: la campagna di phishing mediante i router hackerati
Nell’ultima ondata di questo tipo di attacchi, gli hacker hanno sfruttato le falle di sicurezza presenti nei router D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech e TOTOLINK. I cybercriminali sono riusciti a entrare nei dispositivi e a modificare le impostazioni DNS. Nel momento in cui i proprietari dei router hackerati provavano a entrare nel proprio account del servizio di home banking o sui rispettivi siti, il server DNS dannoso sotto controllo dei cybercriminali reindirizzava silenziosamente alle pagine di phishing create apposta per rubare queste credenziali di accesso.
Durante questa campagna di attacchi, i cybercriminali si sono concentrati soprattutto sugli utenti brasiliani, creando falsi siti simili in tutto e per tutto a quelli di enti finanziari brasiliani, banche, servizi di web hosting e fornitori di servizi su cloud con base in Brasile.
I cybercriminali, inoltre, hanno colpito gli utenti di alcuni servizi Internet molto famosi, tra cui PayPal, Netflix, Uber e Gmail.
Come difendersi dal phishing via router
Come abbiamo detto in precedenza, questo tipo di phishing è molto difficile da individuare; in ogni caso, la situazione non è completamente disperata. Ecco qualche consiglio utile:
- Collegatevi all’interfaccia web del router, cambiate le password di default e disattivate l’amministrazione da remoto e altre impostazioni pericolose;
- Aggiornate periodicamente il firmware del router, in quanto grazie agli aggiornamenti spesso si risolvono le vulnerabilità. Su alcuni modelli, gli aggiornamenti vengono inviati automaticamente, in altri vanno installati in modo manuale. Cercate online informazioni sulla casa produttrice del router e verificate che il vostro router sia aggiornato;
- Anche quando visitate un sito a voi famigliare, prestate attenzione a eventuali dettagli insoliti e a finestre pop-up inaspettate. Cercate di cliccare su diverse sezioni del sito: è vero che le pagine di phishing sono curate fin nei minimi dettagli, ma è quasi impossibile che i cybercriminali riproducano un intero sito alla perfezione;
- Prima di digitare le vostre credenziali di accesso (o qualsiasi altro dato confidenziale), accertatevi di essere collegati a una connessione sicura (notando la presenza di https:// nell’URL) e verificate che il nome del certificato corrisponda al nome dell’ente in questione. Non dovete fare altro che cliccare sull’icona del lucchetto presente nella barra degli indirizzi.
- Con Edge o Internet Explorer visualizzerete subito le informazioni che vi servono riguardanti il certificato;
- Su Mozilla dovete cliccare su Ulteriori informazioni;
- Per Chrome, cliccate sul lucchetto, poi su Certificato > Generale e verificate infine la sezione Rilasciato a.