Vi capitano schermate come questa?

modem_hijacked

 

Capita su pochi siti molto popolari:

  • google,
  • facebook,
  • repubblica.it…

la navigazione viene bloccata per proporvi un aggiornamento. Eppure non sembra del tutto regolare… di solito non si presenta così…

Se vi succede questo, forse qualcuno o qualcosa ha manomesso il vostro router.

Vediamo meglio i sintomi:

  • nel caso della schermata, succedono due cose strane:
    • “repubblica” oltre ad avvisarci che internet explorer è vecchio, non ci fa entrare. Quale negozio non ti fa entrare perché ti manca qualcosa? Se fosse vero, dovrebbe farci navigare e mettere in qualche parte della pagina un avviso:  “guarda che il sito non lo stai vedendo bene come l’abbiamo fatto noi, perché usi un browser vecchio
    • ma questo non è internet explorer! E’ Chrome!
  • altre volte è Google, il produttore di Chrome, che ci dice: “il tuo browser (chrome 34) non è aggiornato, scarica Internet Explorer” . Sì, certo, a me la FIAT ogni tanto mi chiama, per dirmi “la tua Punto è vecchia, compra una Peugeot”
  • Altre volte sotto Chrome l’avviso è di scaricare Flash Player. Ma Flash Player è in un certo senso incorporato in Chrome, e si aggiorna da solo senza chiederti niente.
  • altro sintomo è l’impossibilità di fare ricerche via google.

In tutti i casi, installare le cose proposte da questi finti siti porta ad infettare il proprio computer. Che probabilmente non è infettato ancora, perché queste schermate avvengono quando è stato manomesso il router.

Un virus che attacca i modem/router ADSL? non è proprio un virus…

Non tutti sanno che i modem/router casalinghi si amministrano attaverso un “sito” dentro il router stesso. Anziché avere manopole e bottoni, si entra in una pagina particolare e dove abbiamo decine di caselline di impostazione che normalmente non tocchiamo.

“Io lo so! è la password! Quella del wifi!”

No, non è quella. normalmente un modem ha due password, ma dovremmo dire due coppie di credenziali: una è quella che permette a vostro cugino di collegarsi ad internet da casa vostra: “collegati a mariorossi e metti come password milan” Ovviamente un vicino malizioso potrebbe arrivarci, che mariorossi possa aver messo milan come password….

“Sì c’era una password prima, ma era troppo difficile e ho messo milan”. Ok, i vicini ti ringraziano.

L’altra coppia di credenziali è quella che permette di amministrare il router. Di solito si apre un sito con un indirizzo numerico

Schermata 2014-06-02 a 09.28.34

 

 

si inseriscono le credenziali e poi si configura il modem da pagine come questa:

Schermata 2014-06-02 a 09.30.33

 

Questa password non la darete a vostro cugino.

La tragedia è che il 90% dei modem arriva con una password preimpostata mediamente difficile per il wifi, mentre per l’amministrazione di solito sono banalissime:
nome utente: admin -password: admin
nome utente: admin -password: password

Altra tragedia è che alcuni modem possono essere configurati anche da qualcuno esterno alla rete

router modem

Infine, alcuni modem sono semplicemente vulnerabili: il nostro hacker, dall’Australia o dalla Russia, può confondere il nostro router e manometterlo anche quando avete messo qualcosa di più intelligente di admin/admin.

cosa è successo

La manomissione consiste nel cambio dei server DNS. quando noi digitiamo www.google.it in realtà ci colleghiamo a 173.194.35.183; quando noi cerchiamo repubblica.it in realtà vogliamo andare a: 213.92.16.191. Chi traduce il nome che ci ricordiamo in numero, difficile da ricordare? Il server DNS! Il nostro router manomesso, usa dei server DNS imbroglioni, che ci mandano su un finto google, un finto Facebook, una finta Repubblica….

cosa devo fare?

passo 1:

se hai una chiavetta internet, prova intanto a scollegarti dal router e a collegarti con la chiavetta: se non si verificano più questi problemi, è il router ad essere stato colpito.

  • se sai entrare nel tuo router (di solito è 192.168.1.1, oppure 192.168.0.1, ma può essere qualunque altra cosa)
  • se hai le credenziali di amministratore;
  • se trovi dov’è l’impostazione del DNS;

passo 2:

se hai superato il passo 1, cambia le due voci dei due server dns con:

  • i server indicati dal tuo provider (telecom, wind, etc)
  • oppure con i server di open DNS  (primario: 208.67.222.222 secondario: 208.67.220.220)
  • oppure con i server di Google (primario: 8.8.8.8 secondario: 8.8.4.4)

Se non ti è chiaro, o se non riesci, chiama qualcuno prima di fare altri danni.. Ogni router ha le sue schermate e i suoi menu, e io non posso descriverteli tutti.

passo 3:

dopo questa correzione, devi svuotare la cache dei tuoi browser, svuotare la cache DNS del sistema (sotto windows: ipconfig /flushdns eventualmente riavviare il sistema. Poi cambia la password al router e scandisci i tuoi pc con tutti gli antivirus, antimalware, antispyware che puoi.