Когда роутер — самое слабое звено: DNS-угон в домашних и малых офисах

Большинство из нас забывают о роутере. Он стоит в углу, мигает лампочками и вроде бы работает. Но на деле это часто самое уязвимое устройство в сети.

Почему роутеры в SOHO под прицелом

Сети Small Office/Home Office — лёгкая добыча для хакеров. Роутер здесь в центре событий. В отличие от крупных компаний с IT-отделами, дома или в маленьком офисе всё на заводских настройках. Прошивка старая, пароль от админки — дефолтный. Идеальные условия для атаки.

Компрометация роутера даёт злоумышленнику контроль над всем трафиком. Он оказывается между вами и интернетом.

DNS-угон: как это работает

DNS — это телефонная книга интернета. Вы вводите адрес сайта, устройство запрашивает у DNS-сервера IP. Роутер обычно перенаправляет запросы к серверам провайдера или публичным, вроде 1.1.1.1 от Cloudflare.

Если роутер под контролем атакующего, он подменяет ответы. Вместо банка вы попадаете на фишинговый клон. Трафик перехватывают, следят за ним. Это не фантастика — тысячи пользователей уже пострадали.

Цепочка атак через роутер

С подменой DNS хакер видит всё:

Кража учёток: Ложные страницы ловят логины, пароли, коды 2FA.

Финансовые потери: Поддельные банковские сайты выглядят идеально.

Вредоносные обновления: Заменяют скачиваемый софт на троянский.

Полный мониторинг: Каждый сайт, письмо, API-запрос — под прицелом.

Чем SOHO-сети так уязвимы

В компаниях есть системы мониторинга. Дома — только пароль вроде "123456" или имя WiFi.

Типичные проблемы:

• Дефолтные логины: Никто не меняет.
• Старая прошивка: Патчи игнорируют.
• Слабая защита: WPA2 — минимум, но часто хуже.
• Нет логов: DNS-угон не заметить.
• Физический доступ: Роутер легко сбросить или взломать.

Как защитить сеть: шаги прямо сейчас

Не ждите. Действуйте.

1. Смените учётку роутера

Зайдите в админку. Поставьте сложный логин и пароль. Это базовая защита.

2. Обновите прошивку

Сайт производителя — ваш друг. Включите автообновления, если есть.

3. WPA3 в приоритете

Поддерживается? Включайте. Только WPA2 — терпимо, WPA — нет. Смените пароль WiFi.

4. Безопасный DNS

Забудьте про DNS провайдера. Выберите:

• 1.1.1.1 от Cloudflare — приватность.
• 9.9.9.9 от Quad9 — блокировка malware.
• 8.8.8.8 от Google — надёжно.

Настройте на роутере и устройствах.

5. DoH или DoT

DNS-over-HTTPS или DNS-over-TLS шифруют запросы. Даже ISP не увидит, а при взломе роутера — тем более.

6. Проверяйте логи

В админке смотрите записи. Ищите подозрительное: неудачные логины, изменения настроек.

7. Отключите UPnP

Удобно, но опасно. Malware открывает порты. Выключайте, если не для игр или смарт-дома.

8. Гостевая сеть

Для гостей и IoT — отдельно. Без доступа к основной сети.

Взгляд разработчика: безопасность по умолчанию

Если ваше app работает в SOHO или обслуживает таких юзеров, роутеры у них уже под угрозой.

Делайте так:

• Только HTTPS: Не верьте незащищённому трафику.
• Certificate pinning: Блокирует поддельные сертификаты.
• MFA: Не только пароли.
• Мониторинг: Фиксируйте странные логины.
• Клиентское шифрование: Данные шифруйте до сети.

Общая картина

Атаки на роутеры усложняются. Хакеры сканируют уязвимости, используют zero-day, маскируются под нормальный трафик, выживают после обновлений и крадут данные незаметно.

Мы отстаём.

Что делать дальше

Безопасность — это рутина:

• Ежемесячно: Проверяйте настройки, логи.
• Ежеквартально: Обновляйте прошивку.
• Ежегодно: Меняйте пароли, проверяйте поддержку обновлений.

Роутер старше 5 лет без патчей? Меняйте. Новый — 3000–10000 рублей. Восстановление после кражи аккаунтов или крипты дороже в разы.

Безопасность сети начинается с роутера. Время обратить внимание.