銀行のウェブサイトが偽のサイトに転送する-フォーマットされたハードドライブ-それでも転送する

症状と一致する一般的な攻撃方法の1つはDNSハイジャックです。これは、攻撃者があなたのコンピューターにあなたの銀行のWebサイト「www.mybank.com」が実際には彼らの制御下にあるサーバーであるIPにあることをあなたのコンピューターに誘導するあらゆる手段です銀行の管理下にあるIPの。これを任意のブラウザに入力すると、悪意のあるサーバーに向かい、銀行のページとよく似たページが表示され、違いを知らずにログインすることが期待されます。

VPNを使用するとルーターがバイパスされ、正しいサイトが表示される一方で、侵害されたルーターはすべてのDNSリクエストを通過させ、悪意のあるIPに置き換えられる可能性があります。また、ネットワーク上の別のデバイスがローカルルーターをDNSサーバーとして使用していないため、同じルーターベースの攻撃を受けない可能性があります。

DNSの問題かどうかを確認するには、影響を受けるコンピューターから銀行の基本的なホスト名（URLの最初の部分）にpingを実行してみて、どのIPが返されるかを確認します。次に、arin.netなどのサイトでIPの所有権を確認します。銀行や信頼できるCDNプロバイダーが所有していない場合は、DNSハイジャックが発生していることがわかります。

見つかったIPをブラウザーバーに貼り付けて何が起こるかを確認してテストすることもできますが、ブラウザーに銀行のサイトのように見えるページが表示される場合があるため、TLS証明書情報を十分に調べない限り、決定的な結果にはなりません。それが本当にあなたの銀行であることを確認してください。別の考えられる結果として、新しいサイトに悪意のあるものとしてフラグが立てられます（無効な証明書でTLS暗号化されたページを表示するような場合）。

編集：ルーターの侵害の詳細

攻撃者は、ルーターに不要な操作を強制するいくつかの方法があります。リモートでログインするだけでよく、これは、ルーターがインターネットに公開されている場合（多くの場合）、資格情報がデフォルト（多くの場合）である場合に特に簡単です。あります）。これらは両方とも常に回避する必要があります。一部のルーターには、攻撃者がパスワードをバイパスすることを可能にするファームウェアの悪用がありました。更新されたファームウェアを頻繁に探し、適用する必要があります。ブラウザベースのエクスプロイトも可能です。サイトや広告などのマルウェアがルーターのデフォルトのIP /認証情報を取得し、独自のコンピュータを使用して外部アクセス制限をバイパスし、次のようにスクリプトを変更します。 DNSサーバーを悪意のあるサーバーに設定する。

このような基本的なルーター設定ハイジャックの取り組みに対するもう1つの簡単な緩和策は、特定のDNSホストを使用するようにコンピューターを設定することでもあります。これは、由緒ある8.8.8.8（グーグルの高可用性エニーキャストベースのDNSサーバーネットワーク）などの特定のDNSホストを使用します。ルーターが100％侵害され、すべてのポート53 UDPトラフィックがリダイレクトされますが、設定などのより単純な攻撃ではこれを実行できないため、効果的にブロックされます。

DNSスプーフィングによる中間者攻撃のようです。 this のようなオンラインサービスからpingを実行して、サイトのIPアドレスを確認することをお勧めします。それをブラウザのURLバーに入力して、偽のWebサイトにリダイレクトされるかどうかを確認します。

彼らは私のルーターをハッキングしたのですか？それが可能かどうかさえ知りませんでしたが、考えてみると、LANからリモートでアクセスでき、ユーザー名/パスワードはメーカーのデフォルトです。ルータをハードリセットしてから、ユーザー名/パスワードを変更するだけで十分でしょうか？

1. ルーターの最新ファームウェアをコンピューターにダウンロードします。マルウェアをスキャンします。
2. ファームウェアの更新が含まれているコンピューターを除くすべてのネットワークデバイスからルーターを切断します。ルーターがUSBデバイスからのファームウェアの更新をサポートしている場合、これはさらに優れています（切断allネットワークデバイスを使用できるため）。
3. ルーターを工場出荷時のデフォルトにリセットします。
4. ファームウェアを更新し、admin/rootアカウントのパスワードを変更します（可能な場合は、アカウント名も変更します）。
5. ネットワーク設定を再度入力し、すべてのネットワークデバイスを再接続します。

別の質問は、そもそもどうやって私のルーターにアクセスできるようになったのですか？ウイルスだった場合、私のBILもラップトップをフォーマットする必要がありますか？

多くの可能な攻撃ベクトルがありますが、おそらくルーターのファームウェアの既知の脆弱性を使用した外部の攻撃者です。ファームウェアにパッチを当てることで、このような脆弱性を修正できるはずです。これが事実である場合、私はまた、コンピューターマルウェアがこれの原因である可能性が低いことを発見します...しかし、安全面で誤解する方が良いです。該当するすべてのネットワークデバイスのマルウェアスキャンを実行する必要があります。

ルーターに外部アドレス（WAN側）へのログインまたはルーターの管理の可能性を示す設定がある場合、非常に特別なニーズがあり、不正アクセスから保護する方法を知っている場合を除き、この設定は常に無効にする必要があります。

これは、問題のある場所を絞り込むように提案するものです。 Chromeでは、シークレットウィンドウを開いてから、開発者ツールを開くことをお勧めします。ネットワークタブに切り替えます。 Chrome=に正しいURLを入力してEnterキーを押します。ネットワークタブのリクエストに間違ったURLが含まれている場合、コンピューター上の何かがURLを変更している可能性があります（さまざまなブラウザに自動的にインストールされますか？）302が返された場合、問題はマシンにありません。その場合、何かが悪意のある応答を返しています。これは、調査に集中するのに役立ちます。