Egy kedves ügyfelünk jelezte, hogy a mobilján időnként rendőrségi felszólítás jelenik meg, hogy az illegális pornográfia használat miatt fizessen egy jelentősebb összeget.
Mivel a telefonon nem volt vírusirtó, az első dolgunk volt a telefon ellenőrzése. A rendelkezésünkre álló programokkal semmilyen rosszindulatú programot sem sikerült azonosítani.
Az SD kártyát kivéve azt PC-s vírusirtóval is vizsgáltuk. Az eredmény hasonló lett. Itt lett volna az ideje széttárni a karunkat, hogy ezzel, most mint csináljunk, azonban inkább beszélgettünk kicsit az ügyféllel. Ebből kiderült, hogy ez a probléma csak otthon jelentkezik. A gyanúnk azonnal az otthoni hálózatára terelődött.
Egy gyors vizsgálat kimutatta, hogy a probléma forrása a router. A routeren működő DHCP kiszolgáló beállításai felül lettek írva számunkra ismeretlen értékekkel. Ezeket töröltük, és az internet szolgáltató DNS szerverének a címét írtuk be. Innentől a rend helyreállt.
Mivel nem igazán bíztunk az ismeretlenben aki a router beállításait megváltoztatta, minden eszközön vírus ellenőrzést végeztünk.
A problémát a biztonsági kérdések nagyvonalú kezelése okozta. A router jelszava a gyári volt. Sajnos több rosszindulatú program képes a router típusát azonosítani, és a gyári jelszóval bejelentkezni, a beállításokat módosítani.
Néhány routeren lehetőség van CAPTCHA megkövetelésére. Ez valamennyire megnehezíti az automatikus támadásokat, azonban a routerek mérsékelt teljesítménye nem teszi lehetővé szofisztikált CAPTCHA használatát
A gyári jelszó megváltoztatása mindenféleképpen alapvető. Ezen felül (ez már erősen függ az adott készülék lehetőségeitől) ha lehetséges, a bejelentkezési lehetőségeket érdemes korlátozni.
A lehetőségek végiggondolása után – arra számítva, hogy az ismeretlen támadó hátrahagyhatott egy hátsó kaput, a router firmware-jét OpenWRT-re cseréltük.
A webes bejelentkezéshez tartozó portot célszerű lehet megváltoztatni, ha erre van lehetőség.
Sok routernek van parancssoros bejelentkezési lehetősége. Ennek érdemes utánajárni, esetleg hozzáértőt megkérni, hogy tiltsa le, vagy korlátozza. Egy szakmai blogon egy router parancssoros elérési lehetősét rosszindulatú beavatkozásként azonosította. Ebben egyetértek a bloggerrel, abban az esetben, ha a szolgáltatás nincsen dokumentálva.