Интернет превара – Како сам преварен на кварњака?

…или ти: Нећете веровати где вас све преваранти, или како их неки погрешно зову хакери могу преварити…

Почео сам да примећујем да ми на андроид телефону посета било ком сајту бива редиректована на неку буђаву порњаву о чему сам и објавио пост на Фејсбуку где сам изнапушавао све произвођаче антивируса за Андроид како су тешки преваранти који продају муда за бубреге.

Интернет превара - Како сам преварен на кварњака
Доста људи би и на овоме пало 🙁

Елем, одох са мог телефона на сајт kompjuteras.com за који сам сигуран да је чист као суза (ја правио), сајт се отвори, али се после пар секунди отвори и неки брутал-порн сајт.

Помислих одмах, проблем је до мог сајта, некако су Кинези, Руси или Албанци нашли начина да се уфурају на сајт (сетите се, све је могуће пробити у е-свету) пустих скенирање свиме и свачиме…ћорак, сајт је чист.

Па где може да буде проблем мајку му.

Одмах, помало усхитрено, пробам, отворим исти сајт са женчетовог телефона….сајт се отвара без проблема, отворим сајт са рачунара…нема проблема. Посумњао сам на DNS тровање, али изгледа да није то чим се на компу и њеном телефону све регуларе отвара. Дакле проблем је искључиво до мог буђавог ZTE андроид телефона јебем ти глупаве кинеске телефоне.

Линкови са порно сајтова су се мењали, па су се отварале странице типа, „Познате жене из комшилука чекају да се јебу са тобом“ (на српском веровали или не, женче цркло од смеха) и свашта нешто „занимљиво“. Инсталирао сам отприлике све антивирусе са андроид маркета и ни један није нашао ништа сумњиво са телефону

Урадих фабрички ресет телефона, и стварно једно време све беше регуларно али опет се десио проблем са нежељеном порњавом. Пошто ми је телефон био рутован (наравно да сам га рутовао чим сам га добио) поскидао сам богаоца системских програма и сервиса укључујући и обавезне за које сам мислио да су узрок овога, исформатирао SD картицу, телефон дакле чист као суза…али џаба проблем је и даље био ту.

Бацим се на гуглање, „redirection to porn sites in android“ – претрага ми даје неке буђаве резултате. Е сад, са телефона се качим по Фејбуцима, Твитерима…али сам једно време користио и е-банкинг, дакле опасна је ствар, то се мора или очистити, или пљунути кеш за други телефон а овај оправити мацолом од 5 кила.

Е сад, пошто сам ја тежак параноик, рачунар ми је заштићен свим живим заштитама које постоје, плус Линукс, плус пермисије, плус разни NoScript-ови, сендбоксови и остала чуда…на телефону имам инсталиране само апликације скинуте са Google Play-а, јесам рутовао телефон али алатом који се широко примењује а са истим алатом сам рутовао и женчетов телефон и претходни телефон који сам имао, дакле уређаји су добро заштићени….па мајку му јебем, му како сам се онда заразио?

Дакле….компјутер чист.
Телефон…требало би да је чист, тј чист је, али некако опет није.

Који је трећи уређај који ме може јебати? Логика каже да је то….

…Wi-Fi рутер

Ајд да погледам Wi-Fi рутер, да се није нешто на њему променило? Лозинка, наравно да није дифолтна и да је ултра зајебана….је и даље ту, није мењана…уђем у подешавања рутера и опалааа…..

Хаковање рутера

Дакле – ипак је била промењена DNS адреса рутера.

IP адреса је 94.249.192.82 што је неко лудило GhostNET које се налази у Немачкој а које ја у животу нит’ видех нит’ поставих, али ово Ghost (у преводу дух) ми баш делује легално и охрабрујуће.

Информације о тој IP адреси: http://www.abuseipdb.com/whois/94.249.192.82

Шта значи та DNS адреса?

Укратко, она је оно што веб-адресу коју ви знате (нпр facebook.com) конвертује у адресу коју мрежа зна (нпр. 173.252.120.6). Дакле, кад укуцате facebook.com DNS сервер који сте исконфигурисали у мрежним подешавањима на уређају то конвертује у IP адресу и пошаље ваш упит на исправан сервер који хостује, у овом примеру Фејсбук.

АЛИ – ако је DNS сервер малициозан, он ће рецимо кад укуцате facebook.com да вас пошаље на неки xyz.ru сервер при чему вама у адрес-бару и даље стоји facebook.com – дакле све регуларе на први поглед. Плус, ако је нападач направио и идентичну страницу као на facebook.com вашим логовањем остављате нападачу вашe корисничко име и лозинку. Наравно, у овом случају, ако сте поставили >двостепену аутентификацију – нападач може да га фафа 🙂

Е сад, замислите, уместо facebook.com да се логујете на лажну адресу своје банке и тако нападачу дате приступ вашем е-банкингу? Хорор. Потенцијална одбрана од оваквог троловања је проверити да ли је адреса са https:// конекцијом, ако није – ПРЕВАРА…мада, може превара бити и ако јесте https – само је мања вероватноћа.

Сем крађе идентитета, овакав напад може да се употреби за зараду за нападача по клику (мој случај), где ваш браузер бива преусмерен на интернет рекламе те тако нападач добија кеш за сваку посету.

Како је дошло до заразе?

По неким примерима које видим по Гуглу, посетио сам неки малициозни или чак и регуларни сајт који има „ушприцан“ малициозни код чијим се учитавањем приликом посете тој веб страници добија даљински приступ администрацији одређених типова рутера, у овом случају рањивих TP-LINK рутера.

Друга би варијанта била да сам имао спајвер или неки други тип малвера који је некако успео да украде админ лозинку из претраживача (била је упамћена у претраживачу) и да је некако применио на рутеру приступом споља или чак и изнутра, али је ово мени мало вероватно због параноик заштите на компу.

Трећа, мени највероватнија варијанта би варијанта била да је нападач једноставно скенирао доступне јавне IP адресе, пустио неки „custom exploit“ који излистава типове рутера на тим адресама (некако је мимоишао firewall који је активан на тим рутерима), нашао рањиве типове рутера и на њих применио унапред написан софистициранији малвер који је променио DNS адресу.

Како се дезинфиковати?

Прво – променити малициозну IP адресу DNS сервера на регуларну, тј на Google DNS (8.8.8.8), OpenDNS (208.67.222.222) или DNS адресу дату од стране интернет провајдера.

Друго – променити админ лозинку на рутеру

Треће – урадити пуно antimalware скенирање свега што користи нет, од телефона до лаптопа, чисто да не бије малер

Четврто – променити лозинке на свим битнијим сервисима, од глупавог Фејса па до е-банкинга

Пето – звати интернет провајера и тражити му мало „паметнији“ рутер. Ако постоји новији фирмвер (у случају буђавог маторог рутера који је мени дат на коришћење не постоји, јебига) одрадити његову инсталацију – одмах.

НАЈБИТНИЈЕ – активирајте и исконфигуришите ACL (позовите провајдера да вам помогне по питању овога). Ево рецимо како изгледа мој ACL после модификације.

ACL

 

Остало – проверавати DNS адресу с времена на време док провајдер не види шта ће да ради по овом питању. За сваки случај и на осталим уређајима који користе тај рутер поставити статичку адресу за DNS сервер како би се избегло даље усеравање од стране нападача.

Мистерија – зашто зараза није била видљива на компјутеру и женчетовом телефону?

На мом компјутеру није била видљива из простог разлога – адреса DNS сервера на мом рачунару је била статички подешена и није се дотицала онога што је било постављено на рутеру (сећате се, параноик). DNS адресу са рутера су добијали уређаји који су IP адресу и остала мрежна подешавања добијали са рутера путем DHCP-а…попут мог телефона. Дакле, да сам којим случајем на телефону имао статичку адресу за DNS попут 8.8.8.8 не би био под овом преваром (школа научена).

Са женчетовог телефона није било видљиво из баналног разлога – није користила Wi-Fi за сурфовање нетом, јер, није ИТ залуђеник као њен ретардирани муж. Ту су они бесплатни мегабајти које има од провајдера, а ако треба Wi-Fi користи се искључиво за коришћење Фејсбук апликације и Вајбера…који опет имају своју заштиту. Ја кад сам проверао са њеног телефона био сам накачен на мобилни нет не на Wi-Fi, тако да није било редирекције. Кад сам променио на Wi-Fi – дешавало се исто као на мом мобилном телефону…чак штавише, нудило јој се да скине неки badaporn.apk за Андроид и имала је поруку да је телефон тешко заражен.

Ја сам исхитрено проверио са свог рачунара заборавивши да је DNS адреса зацементирана, и са женчетовог телефона не видевши да нисам накачен на Wi-Fi већ на 3Г. Epic fail са моје стране и интернет превара је била успешна.

Наравоученије целе ове приче – ако примећујете сумњиво понашање на било ком уређају попут успорења интернета, отварања неких питајбога каквих страница које нисте ви отворили, сумњивог понашањ на страницама које редовно посећујете….а при том још и имате TP-LINK рутер, по могућству узет/купљен пре више од 2-3 године (може се десити и на осталима) идите на веб адресу рутера (обично је http://192.168.1.1) и проверите подешавања IP адресе за DNS. Ако вам се IP адреса учини сумњивом – прогуглајте је.

Иначе, овакав вид напада је релативно матор, погађа већином ТЛ-ЛИНК рутере (што не значи да су остали воздра) али је и даље, као што видех на свом примеру, нажалост, актуелан.

И да, извињавам се произвођачима антивирус решења за Андроид због оне погрдне фацебоок објаве, погрешио сам признајем…мада, требало би да имају у оквиру скенера и проверу DNS подешавања на телефону. Чуди ме да ни један антивирус за телефон нема ту проверу која је битна.