[grnog] BGP hijacking + DNS hijacking + ανυποψίαστοι χρήστες...

[Myron Lasithiotakis]

Καλημέρα σε όλους,

Ίσως διαβάσατε την ιστορία.
https://www.theregister.co.uk/2018/04/24/myetherwallet_dns_hijack/

Εν συντομία :

Κάποιοι κάνουν BGP hijack και ανακοινώνουν μέσω ενος hosting provider 
(eNet AS10297),
δίκτυα της Amazon που χρησιμοποιεί για DNS Services.

Εκεί σηκώνουν DNS service το οποίο επιστρέφει την IP ενός phishing site 
σε όσους ζητούν το MyEtherWallet.com

Ορισμένοι χρήστες αγνοούν την προειδοποίηση για το self-signed SSL 
certificate του phishing site,
οπότε χρησιμοποιώντας πλέον τα στοιχεία τους ξεκινούν μεταφορές Ethereum 
στο πορτοφόλι των Cybercriminals
(https://etherscan.io/address/0xb3aaaae47070264f3595c5032ee94b620a583a39)


Για το θέμα του BGP Routing Policy / Filtering έχουν γραφτεί τόσα πολλά, 
παρ'ολα αυτά
πάντα βρίσκεται κάποιος αδύναμος κρίκος. Αυτή τη φορά φαίνεται να ηταν η 
Hurricane Electric
που δέχτηκε τα δίκτυα από την eNet, όπως και η eNet η οποία δέχτηκε τα 
δίκτυα υποθέτω
από κάποιον "πελάτη" της με τον οποίο έχει BGP session (εκτός αν 
απέκτησαν πρόσβαση σε routers/servers της eNet).

Aυτό που δε κατάλαβα καλά είναι γιατί κάποιοι ρίχνουν ευθύνες και στην 
Google
της οποίας οι DNS δέχτηκαν την αλλαγή της IP, ενώ για παράδειγμα αυτοί 
της Cloudflare (1.1.1.1) :)
δεν άλλαξαν τις απαντήσεις τους για το myetherwallet.com

https://twitter.com/GossiTheDog/status/988873775285460992

Φιλικά,
Λασηθιωτάκης Μύρων

-- 
=====================================================================
Myron Lasithiotakis
Τμήμα Υποστήριξης Δικτύου IP
Υποδιεύθυνση Υποστήριξης Δικτύου Data/IP Σταθερής & Κινητής
Διεύθυνση Υποστήριξης Δικτύου Σταθερής & Κινητής
ΟTE A.E
e-mail: myronlas at ote.gr
Phone #. +30 210 611 7200 / Vpn #. 410054
=====================================================================