波兰计较机应急中间检测到大年夜量家用路由器的DNS建设被点窜。黑客对大年夜量网上银行的用户实施了中间人报复打击。

　　波兰CERT在陈述中写到: “良多家用路由器存在未授权的长途点窜建设缝隙导致了此次事务。此次中间人报复打击中，黑客在多个网上银行的页面中注进了歹意的javascript代码棍骗用户输进账号暗码和生意确认码。最后盗取了用户银行里的钱“。报复打击的流程道理可用下图暗示：

　　为了绕过HTTPS，黑客采取了SSL剥离的手艺。报复打击者禁止用户和银行之间成立SSL连接，利用户和代{过}{滤}理办事器之间利用未加密的http通信。

　　独一不合的是浏览器会提示用户连接没有益用SSL加密。报复打击者为了利诱用户，重写了url，在域名前加了个“ssl-."的前缀。当然这个域名是不存在的，只能在黑客的歹意DNS才能解析。

　　更多关于SSL stripping的手艺可以参考操纵sslstrip和ettercap冲破ssl嗅探暗码

　　按照波兰IT安然组织Niebezpiecznik.pl的查询拜访，报复打击者很可能操纵的是ZyNOS路由器固件的缝隙，操纵这个缝隙，报复打击者可以未授权的环境下下载到路由器的建设信息，从而获得路由器的登岸暗码。

　　波兰CERT的负责人Przemyslaw Jaroszewski提到，点窜家用路由器的DNS记实有良多编制，有些已存在良多年了。此次让我们吃惊的是第一次有如斯大年夜范围的，目标是盗取金钱的操纵。这类针对网上银行用户的DNS劫持或许会愈来愈多。

　　防御的建议是家用路由器不要开启任何的长途治理功能，不要利用默许的治理暗码。往年国内也曾爆发过一次大年夜范围的家用路由器DNS劫持报复打击。相干的手艺和防御编制可以参考说说“史上最大年夜范围的DNS劫持”。

　　via securityaffairs.co 翻译清算by litdg@freebuf