Het Poolse Computer Emergency Response Team maakt melding van criminelen die de dns-servers in kwetsbare routers aanpassen. Hierdoor zijn zij in staat tot man-in-the-middle-aanvallen, een tactiek die de criminelen gebruiken om geld buit te maken bij internetbankieren.
De zaak kwam eind 2013 aan het rollen toen het Poolse CERT meldingen binnenkreeg van iPhone-gebruikers die te maken kregen met vervalste banksites. Nader onderzoek leerde dat er geen sprake was van malware op iOS, maar dat er was gerommeld met de routers van de slachtoffers. Door het wijzigen van de dns-server naar een adres van een server die in handen is van de cybercriminelen, konden zij Poolse internetgebruikers lokken naar vervalste websites.
De criminelen gebruikten vermoedelijk kwetsbaarheden in routers om de dns-servers aan te passen, al sluit de Poolse CERT niet uit dat er ook gebruik is gemaakt van zwak beveiligde login-gegevens of standaardwachtwoorden. Ook meldt de beveiligingsorganisatie niet welke merken of typen routers zijn gekraakt.
Hoewel de criminelen er met aanvullende malware in slaagden om geld buit te maken, was de man-in-the-middle-aanval niet geheel onzichtbaar. Zo werd tijdens het proces verkeer deels via http verstuurd en niet via https, waardoor de browser alarm kan slaan. Door te rommelen met domeinnamen en bijvoorbeeld 'ssl' in het adres te plaatsen, probeerden de criminelen dit voor minder ervaren internetgebruikers te verdoezelen.