Como corregir el hack a modems de Infinitum
Hace un par de semanas, un amigo me hizo el favor de reenviarme un correo que avisaba sobre un nuevo ataque de Phishing a usuarios de Prodigy Infinium, con la intención de robar sus datos de acceso al portal de BancaNet, del banco Banamex.
Básicamente, el ataque consistía en forzar al ruteador/modem a redireccionar el nombre de Banamex.com a una pagina falsa, diseñada por el hacker, para poder robar los datos de acceso del usuario a BancaNet. Como el ataque era hacia el ruteador/modem, ningun antivirus detectaba el ataque. Y también, al ser el ruteador el que estaba afectado, cualquier computadora conectada a Internet a través de ese ruteador, veía la pagina falsa en lugar del verdadero portal de Banamex.
Solamente pudiste haber sido afectado, si tu modem/ruteador de Infinitum es 2Wire, y no le pusiste un password para evitar la modificación de propiedades. Aun después de esto, tendrías que haber abierto un correo electrónico con una postal falsa de Gusanito.com, la cual ejecutaba los comandos de redireccionamiento en el ruteador.
No entraré mucho en detalle, ya que el objetivo de este post, es enseñar a los usuarios que fueron afectados, como deshacer el redireccionamiento que el ataque de phishing logró, si acaso fueron afectados. Como en las paginas en las cuales encontré detalles del ataque, nunca publicaron como corregir el problema si ya estabas afectado, decidí escribir este post.
¿Cómo saber si fuiste afectado?
En tu navegador, ve a la siguiente dirección. Esta direccion es la que por default traen los modems que entrega Telmex.
http://home/xslt?PAGE=J38
Nota: en ese URL, la palabra “home” redirecciona automaticamente a la dirección IP de tu modem/ruteador 2Wire. Es por eso que aunque le hayas cambiado al ruteador la dirección IP que venía por default, si no habias asignado un password, el ataque era efectivo en el ruteador sin importar la IP que tuviera. Ahora, a seguir con el proceso…
Con eso, estarás entrando a la página “Advanced - DNS Table”.
En la sección de abajo (Name Table), si ves líneas o direcciones que mencionen Banamex.com, haz click en el botón de “Remove” para cada una.
Muy probablemente necesites renovar tu dirección de IP (ipconfig /renew) .
Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:
- Hacer click en el botón de Inicio (Start).
- Seleccionar la opción de Ejecutar (Run).
- Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
- Teclea “nslookup Banamex.com”.
- Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 192.193.230.100.
Si es así, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el ruteador, pero mientras menos abras correos electrónicos de gente que no conozcas, estarás mas seguro.
Banamex o las autoridades competentes ya lograron dar de baja el sitio falso, pero si el redireccionamiento en el ruteador de los usuarios sigue activo, de todas maneras no podrían entrar al portal de BancaNet.
Obtuve detalles del ataque de los siguientes sitios:
Si conoces a alguien que use Infinitum, por favor pásale la dirección de este post para ayudarlo a eliminar el ataque.
Desgraciadamente esto no te protege de futuros ataques, que podrian ser ejecutados desde paginas consideradas seguras o cualquier blog.
Peor aun, desde cualquier pagina que este abierta a XSS, las cuales son millones.
Creo que la unica opcion para estar seguro es cambiar de router. No hay patch disponible aun.
Lo unico que podrias hacer es escribir las paginas sensibles en en HOSTS, ya que este toma precedencia a la resolucion de dns.
De hecho, lo malo es que 2Wire no ha liberado algun update al firmware. Tengo un amigo que, en su empresa, ya les sucedió esto dos veces.
Como bien dices, lo preferible seria que los usuarios editaran sus archivos HOSTS para apuntar directamente al IP verdadero.
Personalmente me parece increible que con solo visitar una pagina puedan atacar de esa manera tu browser. La vulnerabilidad esta muy fuerte.
De hecho, aún si defines una contraseña para el modem no está seguro:
http://www.seguridad.unam.mx/doc/?ap=tutorial&id=196
Es posible reescribir la contraseña, lo cual pone en grave riesgo a cualquier modem 2wire de esa serie.
Saludos,
Hola Eduardo.
Si, lei ese articulo un poco despues de leer el articulo, y está todavia peor de lo que se creia. No es muy seguro que esa información ande volando.
Lo recomendable realmente seria deshacerse de esos modems, porque un update de 2Wire, no se ve para cuando.
Gracias por tu comentario!
[...] Como corregir el hack a modems de Infinitum [...]
[...] Resulta que el problema del que les contaba ayer, se trataba de un router de infinitum hackeado (el mío), Regio Side tiene la solución para corregir un módem de infinitum hackeado. [...]
es verdad, los modems 2Wire tienen esta vulnerabilidad bastante fuerte. Yo la descubrí cuando anduve bloqueando el acceso a paginas desde mi red local por medio de cambios en las DNS del router con lo que me di cuenta que podía hacer redirecciones a algun sitio fraudulento. Buscando por ahí encontre un articulo de la UNAM donde ponen en evidencia como con un simple clic a un link se pueden agregar direcciones falsas a la tabla DNS del 2Wire y hasta sobreescribir contraseña en el.
Volviendo al comienzo, yo quería bloquear paginas a todas las computadoras de la red local menos la mía y con ello he encontrado una solución que les podría servir de momento.
Resulta que hay un servicio llamado OpenDNS el cual tiene servidores DNS seguros. Si nosotros configuramos nuestra maquina para obtener la dirección IP por medio de DHCP desde el router-modem 2Wire lo mas comun es que también tengamos como servidor DNS el mismo router o sea, la direccion 192.168.1.254 de nuestra red local. Sin embargo, podemos configurar manualmente el servidor DNS y que no este en nuestra red local, o sea que no sería el router-modem 2Wire que es el que esta peligrosamente expuesto. Para mas información sobre OpenDNS les recomiendo se den una vuelta por su pagina.
Como resumen, su maquina obtendra la IP desde el router 2Wire (que también podrían asignarla manualmente) y los servidores DNS primario y secundario se configurarán con las IP de los servidores de OpenDNS con lo que estaríamos brincandonos la toma de desiciones por parte del modem 2Wire en cuanto a DNS se refiere.
Como ejemplo, yo configure una IP fraudulenta para Hotmail en mi red local mediante el modem 2Wire. Todas las PC’s conectadas a el y que lo tenían como servidor DNS redirigían la direccion http://www.hotmail.com a la IP fraudulenta que yo había puesto en la configuración de los DNS, sin embargo, a mi PC que tambien estaba conectada al mismo modem no le llego a afectar nunca pues no usaba el modem como servidor DNS sino que usaba OpenDNS.
No se que tan bien me expliqué, pero espero les sirva de algo. Es una solución sencilla y por el momento creo que buena, sobretodo para los que no podemos darnos el lujo de cambiar el modem asi como asi.
Saludos, pues en mi caso tengo usando los modem/router 2wire en 8 ubicaciones diferentes.
Sin embargo los tengo trabajando como bridge, tengo routers linksys en los cuales configuro PPPoE, como antiguamente se hacia cuando telmex proporcionaba los modem/bridge speedstream.
De hecho hay procedimientos(muy complicados por cierto) que describe el fabicante(en el caso de 2wire), para configurarlo como bridge, sin embargo telmex que ahora te vende servicios tales como: VPN, monitoreo por webcam o camaras IP, Skype, etc, etc., obstaculiza que puedas usar los 2wire como bridge.
Pero hay un truquito muy sencillo y que lo tengo usando por mas de dos años en los 2wire, para que funcionen como bridge.
Y consiste en lo siguiente:
Entras a la pagina de administracion del 2wire(http://home/xslt?PAGE=J38), ahi te vas a la parte donde puedes poner el nombre y contraseña para el protocolo PPPoE.
Generalmente tu pones el nombre de usuario y telmex te asiga una contraseña que consiste en el numero telefonico de la linea en donde se contrato el servicio ejemplo:
usuario infinitum: “fulanitodetal”
contraseña: a56581111<—– numero telefonico donde se tendra internet
Entonces el truco es que por ejemplo en lugar de poner un usuario y contraseña valido, tu le pongas lo que se te venga en gana.
usuario inventado: “merenganito”
contraseña: “12345″
Entonces en el panel de led(los foquitos que se ponen en color verde), el que te señalara “internet” se pondra en rojo.
Sin embargo el led que te indica que hay señal “DSL”, se mantiene igual.
Entonces ya realizado esto, puedes usar el router que mas te guste o se acomode a tus posibilidades economicas.
Asi puedes controlar los puertos y aplicaciones que desees, ademas que es mas dificil(mas no imposible) que alguien intervenga tu router.
Yo tengo trabajando 8 tuneles VPN en los cuales tengo servicios de telefonia IP, monitoreo de camaras, administracion y soporte de las bases de datos.
Cualquier duda, pueden escribirme a jmbalam01@yahoo.com.mx
Aclaro este truco lo lei hace mucho tiempo(no es de mi autoria), no recuerdo el nombre del sitio donde lo encontre.
[...] finalmente, despues de todo el relajo que se hizo con la vulnerabilidad en los modems 2Wire y los hacks a BancaNet de Banamex, Prodigy finalmente está entregando modems nuevos a sus suscriptores de Prodigy Infinitum de Banda [...]
Yo también tuve este problema durante mucho tiempo, después de buscar una splución óptima en un foro como este y debido al éxito no obtenido, llamé a Telmex y ellos me dieron instrucciones paso a paso de cómo solucionar el problema y ¡wuala!, listo ahora puedo entrar a Banamex nuevamente.
Trackback URI | Suscribirse a los comentarios por RSS
Leave a reply
Categorías
Archivo
Blogroll
Posts Recientes
Comentarios Recientes
Tags
2Wire Adsense Anuncios Apple Autos Banamex Blogging Burguer King Celulares Civismo Discapacidad Estacionamiento Estados Unidos FireFox Francia Fraude Gobierno Google Hack Hacking IE7 Internacional Internet Explorer 7 iPhone Leyes Link del Dia Memes Monterrey Mozilla Ocurrencias Presentaciones Prodigy Infinitum Publicidad RegioSide Restaurantes Robo Seguridad Servicios Software Tecnologia Telmex Tips Tips Freelancing Video WordPressMeta