พบการโจมตีเราเตอร์ตามบ้าน แก้ไขการตั้งค่า DNS พาไปเว็บไซต์ปลอม หลอกขโมยบัญชี Gmail, Netflix

กองบรรณาธิการ TCIJ 11 เม.ย. 2562

พบการโจมตีเราเตอร์ตามบ้าน แก้ไขการตั้งค่า DNS พาไปเว็บไซต์ปลอม หลอกขโมยบัญชี Gmail, Netflix

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) แจ้งภัยคุกคามไซเบอร์ ระวังพบการโจมตีเราเตอร์ตามบ้าน 'D-Link DSL รุ่น 2640B, 2740R, 2780B, และ 526B DSLink 260E, ARG-W4 ADSL (ยังไม่ยืนยันรุ่นที่ได้รับผลกระทบ), Secutech (ยังไม่ยืนยันรุ่นที่ได้รับผลกระทบ) และTOTOLINK (ยังไม่ยืนยันรุ่นที่ได้รับผลกระทบ)' แก้ไขการตั้งค่า DNS พาไปเว็บไซต์ปลอม หลอกขโมยบัญชี Gmail, Netflix ที่มาภาพประกอบ: CSO

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) แจ้งภัยคุกคามไซเบอร์ เมื่อวันที่ 10 เม.ย. 2562 ที่ผ่านมา ระบุว่านักวิจัยด้านความมั่นคงปลอดภัยรายงานการโจมตีเราเตอร์รุ่นที่นิยมใช้ตามบ้าน จุดประสงค์เพื่อแก้ไขการตั้งค่า DNS ของเราเตอร์ให้พาผู้ใช้เข้าไปยังเว็บไซต์ปลอมเพื่อหลอกขโมยข้อมูล ควรตรวจสอบการตั้งค่าเราเตอร์และอัปเดตเฟิร์มเวอร์อย่างสม่ำเสมอเพื่อป้องกันไม่ให้ตกเป็นเหยื่อ

DNS เป็นระบบที่ใช้สำหรับเก็บฐานข้อมูลโดเมนและที่อยู่ IP เมื่อผู้ใช้เข้าเว็บไซต์ผ่านโดเมน ระบบจะไปค้นหาว่าเว็บไซต์นั้นตั้งอยู่ที่ IP อะไร หากสามารถติดต่อกับเครื่องที่อยู่ใน IP ดังกล่าวได้ก็จะเริ่มทำการเชื่อมต่อและรับส่งข้อมูลกันต่อไป หากผู้ประสงค์ร้ายสามารถเปลี่ยนแปลงกระบวนการค้นหาและตอบกลับของ DNS ได้ก็จะสามารถพาผู้ใช้เข้าไปยังเว็บไซต์ปลอมได้ถึงแม้ผู้ใช้จะพิมพ์ URL ของเว็บไซต์ดังกล่าวได้ถูกต้องแล้วก็ตาม

จากรายงานของ Bad Packets พบว่าแคมเปญการโจมตีเราเตอร์ตามบ้านเพื่อเปลี่ยนเส้นทางการค้นหา DNS นี้เริ่มมาตั้งแต่เดือน ธ.ค. 2561 โดยเราเตอร์ที่ถูกโจมตีจะถูกตั้งค่าให้เรียกใช้งานเซิร์ฟเวอร์ DNS ที่ถูกดัดแปลงการทำงานเพื่อให้พาผู้ใช้เข้าไปยังเว็บไซต์ปลอม โดยเว็บไซต์ที่ตกเป็นเป้าหมาย เช่น Gmail, Netflix, PayPal, Uber เป็นต้น หากผู้ใช้เข้าไปยังเว็บไซต์ปลอมดังกล่าวแล้วเผลอล็อกอินก็อาจถูกสวมรอยบัญชีหรือถูกขโมยข้อมูลสำคัญ เช่น บัตรเครดิต ได้ ก่อนหน้านี้มีรายงานว่ามัลแวร์ DNS Changer ที่ใช้วิธีแก้ไขการตั้งค่า DNS เพื่อเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอม ได้สร้างมูลค่าความเสียหายกว่า 14 ล้านดอลลาร์สหรัฐฯ

เราเตอร์ตามบ้านที่ถูกโจมตี ส่วนใหญ่เป็นรุ่นที่มีช่องโหว่ให้สามารถแก้ไขการตั้งค่าของเราเตอร์ได้จากระยะไกล หลายรุ่นมีแพตช์แล้วแต่ผู้ใช้อาจยังไม่ได้ติดตั้งเฟิร์มแวร์ที่แก้ไขปัญหาดังกล่าว ตัวอย่างรายชื่อและรุ่นของเราเตอร์ที่ถูกโจมตี ได้แก่

- D-Link DSL รุ่น 2640B, 2740R, 2780B, และ 526B
- DSLink 260E
- ARG-W4 ADSL (ยังไม่ยืนยันรุ่นที่ได้รับผลกระทบ)
- Secutech (ยังไม่ยืนยันรุ่นที่ได้รับผลกระทบ)
- TOTOLINK (ยังไม่ยืนยันรุ่นที่ได้รับผลกระทบ)

เพื่อลดความเสียหายและป้องกันไม่ให้ตกเป็นเหยื่อ ผู้ใช้ควรตรวจสอบการตั้งค่าเราเตอร์ว่าถูกแก้ไขการตั้งค่า DNS หรือไม่โดยเปรียบเทียบกับข้อมูล Rogue DNS Servers ที่ระบุในที่มา ซึ่งกระบวนการเหล่านี้อาจตรวจสอบได้จากคู่มือหรือสอบถามผู้ให้บริการ รวมถึงควรพิจารณาอัปเดตเฟิร์มเวอร์ของเราเตอร์ให้เป็นเวอร์ชันล่าสุดหากทำได้

 

ร่วมเป็นแฟนเพจเฟสบุ๊คกับ TCIJ ออนไลน์
www.facebook.com/tcijthai

ป้ายคำ