هک روترهای وای‌فای از طریق تغییر درخواست‌های DNS

یکی از مهم‌ترین نکات مهم در امنیت سایبری این است که اگر به URL صفحه مشکوک هستید و از نظر شما صفحه‌ای عجیب و غریب به نظر می‌رسد، هرگز نباید رمزعبور، اطلاعات کاربری و چیزهای مهم دیگر را وارد کنید. 

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، لینک‌های عجیب و غریب گاهی نشانه خطر هستند. اگر  شما facebook.com را fasebook.com مشاهده می‌کنید، این لینکی عجیب‌وغریب و مشکوک است؛ اما اگر صفحه وب جعلی بر روی یک صفحهٔ رسمی و قانونی باشد چطور می‌شود؟ این سناریو خیلی هم غیر قابل باور به نظر نمی‌رسد. اجازه دهید این شیوه فریب را کمی بیشتر توضیح دهیم.

هایجکینگ و تغییر درخواست‌های DNS
DNS یا سیستم نام دامنه به منزله دفترچه تلفن اینترنت است و درخواست را برای ارتباط با صفحات وب آسان می‌کند. در واقع این سرویس تضمین می‌کند زمانی که آدرس پایگاهی را در مرورگرتان وارد می‌کنید به همان‌جا هدایت شوید. هربار که شما یک آدرس وب‌سایت را در قسمت آدرس مرورگر وارد می‌کنید، کامپیوتر شما درخواستی را برای ارسال به سرور DNS تعیین می‌کند تا آدرس دامنه شما را به‌اصطلاح ترجمه کند. 

به عنوان مثال، زمانی که شما google.com را تایپ می‌کنید، سرور مربوطه DNS، آن را با آدرس آی‌پی ۸۷.۲۴۵.۲۰۰.۱۵۳ ترجمه می‌کند، این آدرس همان‌جایی است که شما قصد دارید به آنجا بروید. در تصویر زیر بیشتر متوجه عملکرد DNS خواهیدشد.

اما چیزی که در اینجا وجود دارد این است که مجرمان می‌توانند سرور DNS خود را در آدرس آی‌پی دیگری (مثلاً ۶.۶.۶.۶) در پاسخ به درخواست شما مثلاً برای سایت google.com ایجاد کنند و این آدرس ممکن است میزبان یک وب‌سایت مخرب باشد. به این روش ربودن DNS یا هایجکینگ DNS گفته می‌شود.

در‌حال‌حاضر رمز موفقیت این جنایت وابسته به یک روشی است که قربانی را مجبور می‌سازد تا از یک سرور DNS مخرب که آنها را به یک وب‌سایت مخرب به جای یک وب‌سایت مشروع هدایت می‌کند به‌کار گیرند. حالا توسعه‌دهندگان این تروجان چگونگی این کار را انجام دادند؟ 

سوییچر چگونه عمل می‌کند
توسعه‌دهندگان سوییچر یک جفت اپلیکیشن اندروید را ایجاد کردند که یک از آنها به تقلید از Baidu (برنامه‌ای مشابه گوگل اما در چین) و دیگر یکی آن به‌عنوان یک برنامه جستجوگر برای رمز عبورهای عمومی به شمار می‌رفت تا به کاربران کمک کند رمزعبورهای خود را در هات‌اسپات‌های عمومی به اشتراک بگذارند. این نوع از خدمات در چین بسیار رایج و محبوب است. 

هنگامی که برنامه‌های مخرب، گوشی‌های هوشمند متصل به شبکه وای‌فای را مورد هدف قرار می‌دادند با یک سرور فرمان و کنترل ارتباط برقرار می‌شد و گزارشی بر اساس اینکه تروجان در یک شبکه خاص فعال شده‌است، داده می‌شد و همچنین یک آیدی شبکه ایجاد می‌شد. سپس سوییچر شروع به هک روتر وای فای می‌کرد. این روند روی ادمین‌های مختلفی که برای ورود به قسمت تنظیمات اقدام می‌کردند انجام می‌شد. این روش تنها روی روترهای TP-Link با موفقیت انجام می‌شد.
 
اگر تروجان موفق به شناسایی اعتبار می‌شد به صفحه تنظیمات روتر می‌رفت و آدرس سرور پیش فرض DNS را به یک صفحه مخرب تغییر می‌داد. همچنین این بدافزار یک سرور DNS گوگل در ۸.۸.۸.۸ به‌عنوان DNS ثانویه ایجاد می‌کرد به‌طوری‌که اگر سرور DNS مخرب از کار هم می‌افتاد، قربانی متوجه آن نمی‌شد.

در اکثر شبکه‌های بی سیم، دستگاه‌ها تنظیمات شبکه خود را (مثل آدرس یک سرور DNS) از روترها دریافت می‌کردند، بنابراین تمام کاربرانی که به یک شبکه به خطر افتاده متصل بودند به‌طور پیش‌فرض از سرورهای DNS مخرب استفاده خواهند‌می‌کردند. پس از اتمام عملیات، تروجان گزارش موفقیت خود را به سرور فرمان و کنترل گزارش می‌کرد.

این عملیات، سناریویی واقعی بود که اگر تعداد سیستم‌های گزارش شده دقیق باشند در کمتر از ۴ ماه، این بدافزار توانسته بود ۱,۲۸۰ شبکه بی سیم را آلوده کند. 

چگونه در برابر حملات این چنینی محافظت شویم
۱. تنظیمات وای فای خود را از حالت پیش فرض درآورده و آن را تنظیم کنید. در ابتدا، رمز آن را به رمزی پیچیده تغییر دهید. 

۲. از نصب اپلیکیشن‌های مشکوک بر روی تلفن‌های هوشمند اندرویدی خویش خودداری کنید. آنها را فقط و فقط از فروشگاه‌های رسمی دانلود کنید، اگرچه متاسفانه در برخی مواقع نیز تروجان‌ها به فروشگاه‌های رسمی نیز رخنه می‌کنند، اما در کل آنها قابل‌اعتمادتر از فروشگاه‌های بی‌‌نام‌ونشان و غیررسمی هستند. 

۳. حتماً از یک راهکار امنیتی قابل‌اعتماد برای تمام دستگاه‌های متصل خود استفاده کنید. . اگرکه درگیر این تروجان شده‌اید می‌توانید از نسخه اندروید کسپرسکی برای موبایل خود استفاده کنید؛ راهکار امنیتی این بدافزار که با Trojan.AndroidOS.Switcher شناسایی شده‌است و شبکه وای فای شما را در برابر آن حفظ خواهدکرد. 

مرجع: کسپرسکی آنلاین