…ili ti: Nećete verovati gde vas sve prevaranti, ili kako ih neki pogrešno zovu „hakeri“ mogu prevariti…

Počeo sam da primećujem da mi na android telefonu poseta bilo kom sajtu biva redirektovana na neku buđavu pornjavu o čemu sam i objavio post na Facebooku gde sam iznapušavao sve proizvođače antivirusa za Android kako su teški prevaranti koji prodaju muda za bubrege.

Internet prevara - Kako sam prevaren na kvarnjaka

Dosta ljudi bi i na ovome palo 🙁

Elem, odoh sa mog telefona na sajt kompjuteras.com za koji sam siguran da je čist kao suza (ja pravio), sajt se otvori, ali se posle par sekundi otvori i neki brutal-porn sajt.
Pomislih odmah, problem je do mog sajta, nekako su Kinezi, Rusi ili Albanci našli načina da se ufuraju na sajt (setite se, sve je moguće probiti u e-svetu) pustih skeniranje svime i svačime…ćorak, sajt je čist.

Pa gde može da bude problem majku mu.

Odmah, pomalo ushitreno, probam, otvorim isti sajt sa ženčetovog telefona….sajt se otvara bez problema, otvorim sajt sa računara…nema problema. Posumnjao sam na DNS trovanje, ali izgleda da nije to čim se na kompu i njenom telefonu sve regulare otvara. Dakle problem je isključivo do mog buđavog ZTE android telefona jebem ti glupave kineske telefone.

Linkovi sa porno sajtova su se menjali, pa su se otvarale stranice tipa, citiram, „Poznate žene iz komšiluka čekaju da se jebu sa tobom“ (na srpskom, verovali ili ne, ženče crklo od smeha) i svašta nešto nastrano.
Instalirao sam otprilike sve antiviruse sa android marketa i ni jedan nije našao ništa sumnjivo sa telefonu

Uradih fabrički reset telefona, i stvarno jedno vreme sve beše regularno ali opet se desio problem sa neželjenom pornjavom. Pošto mi je telefon bio rutovan (naravno da sam ga rutovao čim sam ga dobio) poskidao sam bogaoca sistemskih programa i servisa uključujući i obavezne za koje sam mislio da su uzrok ovoga, isformatirao SD karticu, telefon dakle čist kao suza…ali džaba problem je i dalje bio tu.

Bacim se na guglanje, „redirection to porn sites in android“ – pretraga mi daje neke buđave rezultate. E sad, sa telefona se kačim po fejbucima, tviterima…ali sam jedno vreme koristio i e-banking, dakle opasna je stvar, to se mora ili očistiti, ili pljunuti keš za drugi telefon a ovaj opraviti macolom od 5kg.

E sad, pošto sam ja težak paranoik, računar mi je zaštićen svim živim zaštitama koje postoje, plus Linux, plus permisije, plus razni NoScriptovi, SandBoxovi i ostala čuda…na telefonu imam instalirane samo aplikacije skinute sa Google Play-a, jesam rutovao telefon ali alatom koji se široko primenjuje a sa istim alatom sam rutovao i ženčetov telefon i prethodni telefon koji sam imao, dakle uređaji su dobro zaštićeni….pa majku mu jebem, mu kako sam se onda zarazio?

Dakle….kompjuter čist.
Telefon…trebalo bi da je čist, tj čist je, ali nekako opet nije.

Koji je treći uređaj koji me može jebati? Logika kaže da je to….

…WiFi ruter

Ajd da pogledam WiFi ruter, da se nije nešto na njemu promenilo? Lozinka, naravno da nije difoltna i da je ultra zajebana….je i dalje tu, nije menjana…uđem u podešavanja rutera i opalaaa…..

Hakovanje rutera

Dakle – ipak je bila promenjena DNS adresa rutera.

IP adresa je 94.249.192.82 što je neko ludilo GhostNET koje se nalazi u Nemačkoj a koje ja u životu nit’ videh nit’ postavih, ali ovo Ghost (u prevodu duh) mi baš deluje legalno i ohrabrujuće.

Informacije o toj IP adresi: http://www.abuseipdb.com/whois/94.249.192.82

Šta znači ta DNS adresa?

Ukratko, ona je ono što web-adresu koju vi znate (npr facebook.com) konvertuje u adresu koju mreža zna (npr. 173.252.120.6). Dakle, kad ukucate facebook.com DNS server koji ste iskonfigurisali u mrežnim podešavanjima na uređaju to konvertuje u IP adresu i pošalje vaš upit na ispravan server koji hostuje, u ovom primeru Facebook.

ALI – ako je DNS server maliciozan, on će recimo kad ukucate facebook.com da vas pošalje na neki xyz.ru server pri čemu vama u address baru i dalje stoji facebook.com – dakle sve regulare na prvi pogled. Plus, ako je napadač napravio i identičnu stranicu kao na facebook.com vašim logovanjem ostavljate napadaču vaš username i password. Naravno, u ovom slučaju, ako ste postavili dvostepenu autentifikaciju – napadač može da ga fafa 🙂

E sad, zamislite, umesto facebook.com da se logujete na lažnu adresu svoje banke i tako napadaču date pristup vašem e-bankingu? Horor. Potencijalna odbrana od ovakvog trolovanja je proveriti da li je adresa sa https:// konekcijom, ako nije – PREVARA.

Sem krađe identiteta, ovakav napad može da se upotrebi za zaradu za napadača po kliku (moj slučaj), gde vaš browser biva preusmeren na internet reklame te tako napadač dobija keš za svaku posetu.

Kako je došlo do zaraze?

Po nekim primerima koje vidim po Guglu, posetio sam neki maliciozni ili čak i regularni sajt koji ima „ušprican“ maliciozni kod čijim se učitavanjem prilikom posete toj web stranici dobija remote pristup administraciji određenih tipova rutera, u ovom slučaju ranjivih TP-LINK rutera.

Druga bi varijanta bila da sam imao spyware ili neki drugi tip malvera koji je nekako uspeo da ukrade admin lozinku iz pretraživača (bila je upamćena u pretraživaču) i da je nekako primenio na ruteru pristupom spolja ili čak i iznutra, ali je ovo meni malo verovatno zbog paranoik zaštite na kompu.

Treća, meni najverovatnija varijanta bi varijanta bila da je napadač jednostavno skenirao dostupne javne IP adrese, pustio neki custom exploit koji izlistava tipove rutera na tim adresama (nekako je mimoišao firewall koji je aktivan na tim ruterima), našao ranjive tipove rutera i na njih primenio unapred napisan sofisticiraniji malver koji je promenio DNS adresu.

Kako se dezinfikovati?

Prvo – promeniti malicioznu IP adresu DNS servera na regularnu, tj na Google DNS (8.8.8.8), OpenDNS (208.67.222.222) ili DNS adresu datu od strane internet provajdera.

Drugo – promeniti admin lozinku na ruteru

Treće – uraditi puno antimalware skeniranje svega što koristi net, od telefona do laptopa, čisto da ne bije maler

Četvrto – promeniti lozinke na svim bitnijim servisima, od glupavog Fejsa pa do e-bankinga

Peto – zvati internet provajera i tražiti mu malo „pametniji“ ruter. Ako postoji noviji firmver (u slučaju buđavog matorog rutera koji je meni dat na korišćenje ne postoji, jebiga) odraditi njegovu instalaciju – odmah.

NAJBITNIJE – aktivirajte i iskonfigurišite ACL (pozovite provajdera da vam pomogne po pitanju ovoga). Evo recimo kako izgleda moj ACL posle modifikacije.

ACL

 

Ostalo – proveravati DNS adresu s vremena na vreme dok provajder ne vidi šta će da radi po ovom pitanju. Za svaki slučaj i na ostalim uređajima koji koriste taj ruter postaviti statičku adresu za DNS server kako bi se izbeglo dalje useravanje od strane napadača.

Misterija – zašto zaraza nije bila vidljiva na kompjuteru i ženčetovom telefonu?

Na mom kompjuteru nije bila vidljiva iz prostog razloga – adresa DNS servera na mom računaru je bila statički podešena i nije se doticala onoga što je bilo postavljeno na ruteru (sećate se, paranoik). DNS adresu sa rutera su dobijali uređaji koji su IP adresu i ostala mrežna podešavanja dobijali sa rutera putem DHCP-a…poput mog telefona. Dakle, da sam kojim slučajem na telefonu imao statičku adresu za DNS poput 8.8.8.8 ne bi bio pod ovom prevarom (škola naučena).

Sa ženčetovog telefona nije bilo vidljivo iz banalnog razloga – nije koristila WiFi za surfovanje netom, jer, nije IT zaluđenik kao njen retardirani muž. Tu su oni besplatni megabajti koje ima od provajdera, a ako treba WiFi koristi se isključivo za korišćenje Facebook aplikacije i Vibera…koji opet imaju svoju zaštitu. Ja kad sam proverao sa njenog telefona  bio sam nakačen na mobilni net ne na WiFi, tako da nije bilo redirekcije. Kad sam promenio na WiFi – dešavalo se isto kao na mom mobilnom telefonu…čak štaviše, nudilo joj se da skine neki badaporn.apk za android i imala je poruku da je telefon teško zaražen.

Ja sam ishitreno proverio sa svog računara zaboravivši da je DNS adresa zacementirana, i sa ženčetovog telefona ne videvši da nisam nakačen na WiFi već na 3G. Epic fail sa moje strane i internet prevara je bila uspešna.

Naravoučenije cele ove priče – ako primećujete sumnjivo ponašanje na bilo kom uređaju poput usporenja interneta, otvaranja nekih pitajbog kakvih stranica koje niste vi otvorili, sumnjivog ponašanj na stranicama koje redovno posećujete….a pri tom još i imate TP-LINK ruter, po mogućstvu uzet/kupljen pre više od 2-3 godine (može se desiti i na ostalima) idite na web adresu rutera (obično je http://192.168.1.1) i proverite podešavanja IP adrese za DNS. Ako vam se IP adresa učini sumnjivom – proguglajte je.

Inače, ovakav vid napada je relativno mator, pogađa većinom TL-LINK rutere (što ne znači da su ostali vozdra) ali je i dalje, kao što videh na svom primeru, nažalost, aktuelan.

I da, izvinjavam se proizvođačima antivirus rešenja za Android zbog one pogrdne facebook objave, pogrešio sam priznajem…mada, trebalo bi da imaju u okviru skenera i proveru DNS podešavanja na telefonu. Čudi me da ni jedan antivirus za telefon nema tu proveru koja je bitna.