GhostDNS: Großangelegter Phishing-Angriff auf Heim-Router

Über hunderttausend Heim-Router locken ihre Nutzer per manipuliertem DNS auf Banking-Betrugsseiten. Knapp 70 Router-Modelle sind betroffen.

In Pocket speichern vorlesen Druckansicht 179 Kommentare lesen
GhostDNS: Großangelegter Phishing-Angriff auf Heim-Router

(Bild: Shutterstock)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Sicherheitsforscher haben eine Angriffswelle auf Heim-Router ausgemacht, bei der in Brasilien mehr als hunderttausend Router gekapert wurden. Insgesamt sind knapp 70 verschiedene Router-Modelle betroffen. Die Angreifer dringen in die Geräte ein, in dem sie automatisiert versuchen, das Admin-Passwort zu erraten oder über ein verwundbares CGI-Skript namens dnscfg.cgi, welches die DNS-Konfiguration steuert. Ziel ist es, die DNS-Einträge des Gerätes so zu manipulieren, dass die Opfer statt bei ihrer Bank bei einer Phishing-Seite landen und dort ihre Login-Daten eingeben.

In einem Bericht über die Angriffswelle hat die chinesische Sicherheitsfirma 360 Netlab die Phishing-Welle GhostDNS getauft – das Ganze erinnert an die über zehn Jahre alten DNSChanger-Angriffe. Die folgenden Hersteller sind von den aktuellen Angriffen betroffen: 3Com (hier sind wohl bestimmte HP-Geräte verwundbar), A-Link, Alcatel (sowie unter dem Namen Technicolor vermarktete Router), Antena, C3-Tech, Cisco, D-Link, Elsys, Fiberhome, Fiberlink, Geneko, Greatek, Huawei, Intelbras, Kaiomy, LinkOne, MikroTik, MPI Networks, Multilaser, OIWTECH, Perfect, Qtech, Ralink, Roteador, Sapido, Secutech, Siemens, Technic,Tenda, Thomson, TP-Link, Ubiquiti, Viking, ZTE und Zyxel.

Bisher beschränken sich die Angriffe hauptsächlich auf Brasilien, aber Beobachter der Kampagne gehen davon aus, dass diese sich bald auch auf weitere Länder ausweiten wird. Erste Anzeichen dafür gibt es bereits. Die Phishing-Server werden auf den Cloud-Servern der verschiedensten Anbieter gehostet und einige davon gehen bereits gegen die bösartigen Webseiten vor. Ob das den Angriffen allerdings dauerhaft schadet, ist im Moment eher fragwürdig. Router-Besitzer sollten als Vorsorge-Maßnahme auf jeden Fall das Standard-Passwort ihrer Router ändern und die neueste verfügbare Firmware für das Gerät einspielen. (fab)