[LACNIC/Seguridad] Ataque de Phishing contra Home Routers en Brasil

Felipe Tribaldos felipe en tribaldos.com
Lun Sep 15 17:16:33 BRT 2014 

Sitio web hackeado, codigo insertado para lanzar ataque bruteforce que
intenta cambiar el DNS de un home router.

Mas sobre estos ataques en Brazil.
http://blog.sucuri.net/2014/09/website-security-compromised-website-used-to-hack-home-routers.html#disqus_thread

De la comunidad de Lacnic alguien ha hecho algun estudio de como
identificar estos servidores/resolvers de DNS maliciosos ?


saludos;





2014-09-04 11:07 GMT-04:00 Felipe Tribaldos <felipe en tribaldos.com>:

> Hola;
>
> Nuevamente de Kaspersky articulo de Fabio Assolini (pareciera que trabajo
> para Kaspersky :-) pero no es así ver .sig abajo).
>
>
> http://securelist.com/blog/incidents/66358/web-based-attack-targeting-home-routers-the-brazilian-way/
>
> http://securityaffairs.co/wordpress/28008/cyber-crime/brazil-attacks-home-routers.html
>
> Algunos puntos importantes para resaltar.
>
> 1) Estos ataques usando DNS y home routers no son nuevos en Brasil. Vienen
> desde el 2012.
>
> 2) Lo interesante de este ataque es que utiliza multiples vectores y
> cuenta con que los usuarios ya están mas conscientes de recibir email de
> phishing bancario. El usuario recibe un email de phishing "soy su amigo,
> usted esta siendo traicionado, click aqui para ver fotos".  Increíble pero
> cuando es algo personal los usuarios bajan la guardia.
>
> 3) Utiliza web malware para cambiar los settings de DNS de los usuarios
> lanzando un ataque de brute force (buscando passwords default). Quien
> tienen aun passwords defaults en su home router ?
>
> 4) Luego estos servidores DNS truchos (a la DNS changer) redireccionan el
> trafico de sitios de financieros (bancos).
>
> Utilizan ingeniería social y cuenta con que los usuarios cometan dos o mas
> errores en secuencia: 1) Hacer click en un email de un desconocido, 2) Usar
> Password default en su home router. Una vez mas el factor humano es
> explotado.
>
>
> saludos;
>
>
>
> --
> Felipe Tribaldos
> CloudFlare
> felipe en cloudflare.com
> felipe en tribaldos.com
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20140915/9b630773/attachment.html>

Más información sobre la lista de distribución Seguridad