买来路由器后的第一步，你是否会先更改设备的初始密码？如果你还没有这么做，那现在就要小心了。据外媒报道，已经有网络钓鱼攻击者们向人们滥发附带危险链接的垃圾邮件。当受害人点击之后，它就会在背地里篡改路由器的设置，并将之用于收集人们的网银凭证或其它敏感数据！

位于加州Sunnyvale的安全公司Proofpoint表示，该公司最近探测到了一批持续了四周的垃圾邮件，而它们的接收方，则主是一些位于巴西的组织机构和普通网民。

该邮件将自己伪装成是由当地最大的网络服务提供商(ISP)所发出，并且“警告”收件人其有未支付的账单。但事实上，所谓的链接却是用来破解他们的路由设备的。

据Proofpoint所述，该链接所指向的网页，也模仿了电信运营商的界面。

但是登录页面上所包含的代码，却引起了安全专家们的注意，因为它会伪装并试图悄悄地执行跨站请求，并对两款已知有漏洞的路由器展开攻击(UT斯达康和Tp-Link)。

随后，该恶意页面会调用隐藏的内联框架(iframes)，并通过已知的初始账户列表来记录受害人路由器管理页面的登录凭证。

如果得逞，攻击者更会篡改受害人路由器上的域名解析服务器(DNS)。为了掩人耳目，它会把主DNS服务器地址写成自己的，而把辅助DNS服务器地址写成Google的(8.8.8.8)。

此后，受害人的流量就会彻底被攻击者所劫持，也就是任何网站都会被重定向。如此一来，攻击者就可以更加肆意地通过伪造站点来骗取受害人在合法网站上的登录凭证。

当然，倘若出于种种原因，攻击者的DNS服务器没能响应，那么受害人的路由器仍可正常使用，并在很长一段时间内不被察觉。此外，这类攻击最危险的地方在于，它可以完全绕过杀毒软件和其它安全工具的监管。

虽然许多现代路由器都已经内置了可防止此类攻击的策略(比如CSRF令牌)，但是随着新漏洞的不断涌现，安全专家们仍建议我们及时重置路由器并更改初始密码。

如果你想要了解有关这一攻击的更多细节，还请移步至Proofpoint博客作进一步了解。

[编译自：Krebs on Security , 来源：Proofpoint Blog]