Los atacantes cambiaron la configuración del DNS en los ruteadores domésticos vulnerables para realizar ataques de hombre en el medio (man-in-the-midle) contra los usuarios en Polonia

En los ataques recientemente observados en Polonia participaron cibercriminales haciendo hackeos en routers domésticos y cambiando su configuración de DNS para que puedan interceptar las conexiones del usuario a sitios de banca en línea.

Los investigadores del Equipo de Respuesta a Emergencias de Polonia (CERT Polska) creen que los atacantes se enfocarán en los usuarios de otros países, así como en el futuro utilizando técnicas similares.

"El ataque es posible debido a varias vulnerabilidades en los ruteadores domésticos que hacen que la configuración de DNS susceptible de modificaciones remotas no autorizadas", dijeron el jueves los investigadores del CERT de Polonia en una entrada de blog. "El contenido resultante del ataque de hombre en el medio de muchos sitios web de banca electrónica fue alterado para inyectar código JavaScript que engañaba a los usuarios a renunciar a sus nombres de usuario, contraseñas y números TAN [números de autenticación de transacciones]. Efectivamente, el dinero es robado de los usuarios de cuentas bancarias.

A menos que se configure de otra manera, los dispositivos conectados a una red local por lo general utilizan el servidor DNS proporcionada por el ruteador de la red para resolver los nombres de dominio a direcciones IP (Internet Protocol). Si los atacantes comprometen el ruteador y lo configuran para que utilice un servidor DNS bajo su control, pueden responder con direcciones IP sin escrúpulos para consultas DNS para los nombres de dominio que deseen orientar a su objetivo.

En los recientes ataques en Polonia, los hackers utilizaron un servidor DNS que respondió con direcciones IP rogue para los nombres de dominio de los cinco bancos Polacos. Esas direcciones IP corresponden a un servidor que actúa como proxy, proporcionando a los atacantes una posición de hombre en el medio para interceptar, inspeccionar y modificar el tráfico entre los usuarios y los sitios web de banca en línea que querían atacar.

El problema para los hackers es que esos sitios usan HTTPS (HTTP con cifrado SSL) haciendo imposible de suplantarlos sin un certificado digital válido emitido por una autoridad certificadora. Debido a esto, se decidió utilizar una técnica menos sofisticada conocida como despojo SSL.

Muchos bancos utilizan el cifrado SSL para sus sistemas de banca en línea, pero no en la totalidad de sus sitios web. En la mayoría de los casos, los usuarios primero se conectan al sitio web principal del banco a través de HTTP sin formato y, a continuación, hacen clic en un botón o enlace para acceder a la página de inicio de sesión para la parte segura del sitio donde se habilita SSL.