l+f: Mal wieder DNS-Angriffe auf Router
Gezielter Spam enthält Links, die beim Klick den eigenen Router kompromittieren und dessen DNS-Einstellungen übernehmen.
- Fabian A. Scherschel
In Brasilien sind Internet-Nutzer eines bestimmten Service-Providers gezielt mit Phishing-Spam bombadiert worden, mit dem Ziel, deren Router zu übernehmen. Die Mails sahen aus wie legitime Nachrichten des Providers, klickten die Angeschriebenen allerdings auf einen Link in der Mail, wurden sie Opfer einer Cross-Site-Request-Forgery-Attacke (CSRF). Der Klick sorgte dafür, dass der Nutzer unwissentlich die standardmäßigen Logindaten des eigenen Routers in dessen Interface eingaben. Hatten sie diese nicht geändert, bekam die Seite des Angreifers die Kontrolle über den Router und konnten dessen DNS-Einstellungen ändern.
Auch dieser Angriff zeigt mal wieder, dass man auf jeden Fall Standard-Passwörter in Routern ändern muss. Besser ist natürlich, wenn die Provider diese Passwörter so vergeben, dass jeder ausgelieferte Router ein anderes hat. Router umfassend gegen CSRF-Lücken abzusichern scheint ein Kampf zu sein, den wir nicht gewinnen können.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(fab)
