DNS Hijacking targets Brazilian financial institutions


นักวิจัยค้นพบการทำ DNS Hijacking โดยกำหนดเป้าหมายเป็นกลุ่มลูกค้าของธนาคารในประเทศบราซิล

ผู้โจมตีพุ่งเป้าไปยังเราเตอร์ DLink DSL เพื่อเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ DNS ให้ชี้ไปยังเซิร์ฟเวอร์ DNS ที่อยู่ภายใต้การควบคุม การโจมตีดังกล่าวส่งผลให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญที่ใช้สำหรับเข้าสู่ระบบของผู้ใช้งานได้ โดยการเปลี่ยนเส้นทางของผู้ใช้ที่พยายามเชื่อมต่อกับเว็บไซต์ธนาคารที่ปลอดภัยไปยังเว็บไซต์ที่เป็นอันตรายที่แฮกเกอร์สร้างขึ้น(redirect)

จากการวิเคราะห์โดยผู้เชี่ยวชาญพบว่าผู้โจมตีได้มีการเปลี่ยนเส้นทางไปใช้เซิร์ฟเวอร์ DNS สองเครื่องคือ 69.162.89.185 และ 198.50.222.136 ซึ่ง DNS ทั้งสองตัวจะเปลี่ยนเส้นทางของเว็บไซต์ Banco de Brasil (www.bb.com[.]br) และ Itau Unibanco (ชื่อโฮสต์ www.itau.com[.]br) ไปยังเว็บไซต์ปลอมที่ผู้โจมตีสร้างขึ้น หากผู้ใช้งานเข้าถึงเว็บไซต์ดังกล่าวระบบจะขอให้ผู้ใช้งานป้อนหมายเลขบัญชีและ PIN 8 หลัก พร้อมสอบถามหมายเลขโทรศัพท์มือถือ, PIN Card และหมายเลข CABB เพื่อยื่นยันตัวตน

อย่างไรก็ตามเว็บไซต์ปลอมดังกล่าวถูกตรวจจับว่าเป็นอันตราย และจะมีการแจ้งเตือนเมื่อถูกเรียกใช้งาน นักวิจัยได้แจ้งเตือนธนาคารทั้งหมดเกี่ยวกับแคมเปญดังกล่าว และพบว่าเว็บไซต์ปลอมดังกล่าวได้ Offline ไปแล้ว โดยเราเตอร์ที่ได้รับผลกระทบนั้นจะเป็นเพียงเราเตอร์ที่ไม่มีการอัปเดทภายใน 2 ปีที่ผ่านมาเท่านั้น

ที่มา : securityaffairs