I router più famosi sotto attacco drive-by pharming

“Cambiate le credenziali di accesso al vostro router, qualora ancora
non aveste provveduto“.
E’ questa la sostanza di uno studio condotto da
Symantec e dalla Indiana University School of Informatics.

Un aggressore
remoto, mettendo a punto una pagina Web maligna che fa uso di uno speciale codice
Javascript, potrebbe essere in grado di causare una modifica alla configurazione
del router utilizzato dall’utente. In particolare egli potrebbe forzare la
modifica del server DNS utilizzato reindirizzando così le richieste di accesso
verso i vari siti web famosi, fidati e conosciuti verso siti dannosi creati con
lo scopo di indurre l’utente a digitare username e password personali per
l’accesso a servizi web, conti correnti online e così via.

“Credo
che questo attacco abbia delle serie implicazioni e coinvolga, purtroppo,
milioni di utenti in tutto il mondo“, ha osservato Zulfikar Ramzan,
ricercatore Symantec.

Nel corso dell’analisi effettuata, infatti, si è
riusciti a preparare un’unica pagina web maligna in grado di modificare la
configurazione delle tre marche di router più diffusi ovvero D-Link, Linksys e
Netgear.

Il rischio è concreto perché è sufficiente visitare un sito web
dannoso che faccia uso di una simile pagina web da una qualunque workstation
collegata al router.
La soluzione definitiva per prevenire eventuali
problemi, consiste semplicemente nel modificare username e password di default
del router (generalmente “admin”, “admin” oppure “admin”, “password”).

Un’operazione, questa, che si rivela la chiave di volta per evitare di
esporsi a rischi ma che generalmente non viene effettuata dagli utenti: secondo
lo studio Symantec – Indiana University School of Informatics, più del 50%
dell’utenza non cambierebbe username e password di default del router.


La nuova tipologia d’attacco è stata battezzata “Drive-by Pharming”. Un
white paper in formato PDF, visionabile cliccando qui riassume i punti cardine
dello studio condotto.