Foto: BeotelNet
Korisnici operatora BeotelNet našli su se u panici nakon što su od operatora primili zastrašujući mejl u kojem se navodi da su im uređaji na mreži hakovani, i da će im biti suspendovan Internet pristup ako ne otklone problem ubrzo!
Sadržaj mejla naslovljenog "Obavestenje o hakovanom uredjaju" prenosimo u celosti:
Poštovani,
Obaveštavamo Vas da je saobraćaj koji se obavljao preko vaše IP adrese kompromitovan malicioznim softverom koji ugrožava bezbednost i integritet javnih elektronskih komunikacionih mreža i usluga, što predstavlja nedozvoljeno ponašanje korisnika definisano članom 10. Objedinjenih opštih uslova pružanja usluga, koji je sastavni deo Korisničkog ugovora.
Molimo Vas da u narednih 48 sati kontaktirate tehničku podršku BeotelNet-a na broj telefona 011/4255-155, kako bismo Vam pomogli u otklanjanu problema. U suprotnom, BeotelNet će biti u obavezi da primeni pravo iz člana 10, tačka 10.7 Objedinjenih opštih uslova pružanja usluga bez odlaganja, sto moze dovesti do privremenog ili trajnog suspendovanja Vase internet usluge.
Srdacno Vas,
BeotelNet
Kako smo uspeli da saznamo, u pitanju je automatska kampanja koja targetira rutere sa otvorenim management interfejsom na WAN konekciji, i koja menja DNS servere na ruteru na maliciozne koji presreću HTTP sadržaj i ubacuju reklame i maliciozni softver.
BeotelNet inače insistira da se na ruterima njihovih korisnika drži uključen remote management preko WAN strane, kako bi podrška mogla da ulazi na ruter i vrši provere i podešavanja, a pristup je dozvoljen celom svetu, odnosno nije ograničen po IP adresama.
Drugi operatori obično koriste odvojene management interfejse, realizovane preko VLAN-ova, VPI/VCI ili putem IP tunela, a u slučaju da to nije moguće, koriste ACL da kontrolišu pristup management interfejsu rutera. BeotelNet to ne radi, usled čega su njihovi korisnici na meti napada koje vrše automatske skripte.
Korisnicima kojima se ovo desilo preporučujemo da se obrate operatoru sa zahtevom da im se zameni modem/ruter uređaj, jer se najčešće radi o izuzetno starim TP-Link xDSL modemima koji imaju veliki broj propusta za zaobilaženje autentifikacije u web interfejsu, što omogućava ove vrste upada.
Nema komentara