I router più famosi sotto attacco "drive-by pharming"

“Cambiate le credenziali di accesso al vostro router, qualora ancora non aveste provveduto”. E’ questa la sostanza di uno studio condotto da Symantec e dalla Indiana University School of Informatics. Un aggressore remoto, mettendo a punto a pagina web maligna facente uso di uno speciale codice Javascript, potrebbe essere in grado di causare una modifica alla configurazione del router utilizzato dall’utente. In particolare egli potrebbe forzare la modifica del server DNS utilizzato reindirizzando così le richieste di accesso verso i vari siti web famosi, fidati e conosciuti verso siti dannosi creati con lo scopo di indurre l’utente a digitare username e password personali per l’accesso a servizi web, conti correnti online e così via.
“Credo che questo attacco abbia delle serie implicazioni e coinvolga, purtroppo, milioni di utenti in tutto il mondo”, ha osservato Zulfikar Ramzan, ricercatore Symantec.
Nel corso dell’analisi effettuata, infatti, si è riusciti a preparare un’unica pagina web maligna in grado di modificare la configurazione delle tre marche di router più diffusi ovvero D-Link, Linksys e Netgear. Il rischio è concreto perché è sufficiente visitare un sito web dannoso che faccia uso di una simile pagina web da una qualunque workstation collegata al router. La soluzione definitiva per prevenire eventuali problemi, consiste semplicemente nel modificare username e password di default del router (generalmente “admin”, “admin” oppure “admin”, “password”).
Un’operazione, questa, che si rivela la chiave di volta per evitare di esporsi a rischi ma che generalmente non viene effettuata dagli utenti: secondo lo studio Symantec – Indiana University School of Informatics, più del 50% dell’utenza non cambierebbe username e password di default del router.
La nuova tipologia d’attacco è stata battezzata “Drive-by Pharming”. Un “white paper” in formato PDF, visionabile cliccando qui riassume i punti cardine dello studio condotto.