Cybercriminelen misbruiken IoT-apparaten om Braziliaanse bankgegevens te stelen

In Brazilië hebben cybercriminelen IoT-apparaten gebruikt voor DNS-hijacking. Nietsvermoedende klanten van Banco de Brasil kwamen terecht op een nagemaakte site. Criminelen konden zo eenvoudig bankgegevens stelen. Onderzoekers van cybersecuritybedrijf Radware hebben dat ontdekt. 

Volgens Radware is het de eerste keer dat modems en routers op deze manier zijn aangevallen. Cybercriminelen richtten zich op een modem van D-Link met verouderde software. Via een aanval konden ze de DNS-server in de router aanpassen. Al het internetverkeer via de router werd naar een aangepaste DNS-server geleid.

Bijna al het internetverkeer werd door deze DNS-server correct afgehandeld, met uitzondering van het verkeer naar Banco de Brasil en Itau Unibanco. Wie de site van Banco de Brasil bezocht, kwam terecht op een nagemaakte site. Cybercriminelen konden daardoor inloggegevens buitmaken.  Voor Itau Unibanco ontbrak zo’n nepsite vooralsnog. Aangezien al het andere internetverkeer normaal verliep, hadden internetters niet snel in de gaten dat er iets mis was. Bij dit type aanval hoefde een internetters dus niet op een foute link te klikken om slachtoffer te worden. Wel ontbrak het bekende slotje in de browser om aan te geven dat de verbinding beveiligd was. In sommige gevallen waarschuwden de browser hier expliciet voor.

De cybercriminelen richtten zich specifiek op Braziliaanse internetters. De aanval is elders niet waargenomen, vermoedelijk in een poging zo lang mogelijk onder de radar van IT-beveiligers te blijven. De DNS-servers konden worden aangepast door slecht beveiligde IoT-apparaten te misbruiken bij de aanval. Het is voor het eerst IoT-apparaten hiervoor worden gebruikt, schrijven de Radware-onderzoekers. Tot nu toe werden IoT-botnets vooral gebruikt voor DDoS-aanvallen, cryptojacking of het verzamelen van privé-informatie.

Radware heeft de twee financiële instellingen gewaarschuwd. Het bedrijf heeft ook de providers van de nepsite en DNS-server gewaarschuwd, waardoor ze inmiddels offline zijn. Gebruikers kunnen zich beschermen tegen dit soort aanvallen door apparatuur altijd te updaten.