Come capire se il router è infetto

Nel mondo dell’informatica moderna, le minacce sono praticamente all’ordine del giorno: di continuo vengono creati nuovi virus, programmi dannosi e malware di vario tipo, ai quali è possibile far fronte tenendo aggiornati i programmi e le app di sicurezza installati sui propri dispositivi. Esiste, tuttavia, una minaccia meno evidente ma altrettanto insidiosa, che può influenzare l’attività di navigazione Web dell’utente e la sicurezza dei dati in transito su Internet: il router hijacking.

Questa pratica, nel concreto, consiste nell’alterare i server DNS dei router sfruttando una o più vulnerabilità dei rispettivi sistemi operativi: in tal modo, è possibile dirottare le vittime verso pagine Internet non gradite, senza che l’utente faccia assolutamente nulla. In alcuni casi, oltretutto, i criminali sono in grado di spiare il traffico generato dai dispositivi collegati al router, sfruttando le informazioni ottenute a proprio vantaggio. Come dici? È proprio per questo motivo che ti stai domandando come capire se il router è infetto? Se è così, direi che sei nel posto giusto.

In questa sede, infatti, ti spiegherò una serie di tecniche per rispondere adeguatamente alla domanda che ti sei, giustamente, posto. D’altro canto, questo tipo di minaccia spesso non dà traccia di sé nel router, sebbene possa coinvolgere, e anche in modo serio, i dispositivi collegati a quest’ultimo. Può insomma non essere poi così immediato rilevarla, ma seguendo le indicazioni presenti nei prossimi capitoli capirai meglio la situazione. A questo punto, non mi resta altro da fare, se non augurarti buona lettura e farti un grosso in bocca al lupo per tutto!

Indice

• Come vedere se il router è infetto
  • Utilizzare un buon antivirus e scansionare la rete
  • Controllare il comportamento del browser
  • Controllare le impostazioni di port forwarding
  • Controllare i DNS
• Cosa fare quando il router è infetto

Come vedere se il router è infetto

Dato che ti stai chiedendo come capire se il router è infetto, direi che vale la pena partire dai principali scenari da controllare per capire se c’è effettivamente qualcosa che non va. Nei capitoli di seguito, dunque, ti illustrerò innanzitutto quali controlli effettuare.

Utilizzare un buon antivirus e scansionare la rete

Come capire se un router ha problemi a livello di sicurezza informatica? La prima cosa che potrebbe interessarti fare è utilizzare un buon antivirus, sfruttandone ovviamente le funzioni relative alla scansione della rete.

Devi sapere, infatti, che nel corso degli anni i ricercatori di sicurezza hanno scoperto dei malware in grado di colpire direttamente i router: è il caso, per fare un esempio pratico, di VPNFilter, in grado di sfruttare le vulnerabilità in termini di cybersecurity per carpire dati sensibili, spiare le ignare vittime e così via. Questo è tuttavia solo un esempio di operazione malevola legata al router, come ti spiegherò in seguito.

Fatto sta che, per iniziare a capire se c’è effettivamente qualcosa che non va, puoi effettuare una scansione della rete Wi-Fi mediante una soluzione antivirus che prevede questo tipo di protezione. Devi sapere, infatti, che soluzioni come Bitdefender Antivirus Free e AVG Antivirus Free, giusto per fare due esempi pratici, integrano funzioni di protezione per la navigazione Web.

Nel caso di Bitdefender Antivirus Free, per esempio, da PC Windows è possibile selezionare la scheda Protezione presente sulla sinistra per poter poi dare un’occhiata al riquadro Prevenzione minacce online, che consente di ottenere anche indicazioni in merito agli eventuali tentativi di connessione sospetti (che potrebbero essere anche solo relativi ai cookie per la pubblicità, ma capisci bene che si tratta di un livello di privacy in più).

Se intendi però andare oltre, potrebbe interessarti approfondire, sempre dalla scheda Protezione, anche le opzioni Vulnerabilità, Firewall e Cryptomining Protection, che sono però associate al piano a pagamento (che in genere si può però provare gratis per 30 giorni, anche se dipende dal periodo promozionale e dalla versione dell’antivirus in uso). Premendo sul riquadro Scansione vulnerabilità, per esempio, ti verranno indicate le eventuali vulnerabilità relative a sistema operativo, sicurezza del browser, rete Wi-Fi e router. Nel caso in cui venga rilevato qualcosa, ti verrà data una spiegazione dettagliata della questione, ti verrà indicato il livello di rischio (per esempio, Basso) e ti sarà consentito di premere sul pulsante Risolvi problema per migliorare il più possibile la situazione in pochi clic.

Per quel che riguarda, invece, AVG Antivirus Free, in genere è possibile selezionare, dalla scheda Protezione di base, il riquadro Computer, potendo poi premere in successione sulle voci Controllo di rete e Scansiona rete. Dopo aver scelto se si tratta di una rete Domestica o Pubblica, dunque, attendi che venga effettuata la scansione e approfondisci le eventuali vulnerabilità scovate.

Sono tanti, in ogni caso, i programmi di sicurezza disponibili, al netto degli esempi pratici effettuati in questa sede. A tal proposito, potrebbe farti piacere, per proteggerti ulteriormente da minacce informatiche come gli adware, utilizzare anche soluzioni rapide come AdwCleaner e HitmanPro. D’altro canto, quando ci si domanda come capire se il router non funziona bene, è meglio una scansione in più che una in meno. Per maggiori dettagli, ti consiglio di fare riferimento ai miei tutorial relativi agli antivirus gratuiti, agli antivirus a pagamento e agli antimalware, nonché alle mie guide su come capire se il PC è spiato (nella quale ho spiegato anche come controllare le connessioni in uscita) e come capire se lo smartphone è spiato.

Per il resto, se intendi proteggere al meglio la tua privacy mentre navighi sul Web, potrebbe farti piacere utilizzare un servizio Virtual Private Network con funzioni di sicurezza integrate come NordVPN. Quest’ultimo, infatti, mette a disposizione anche la feature Threat Protection, in grado di rilevare in modo preventivo alcune minacce derivanti dalla navigazione Web. La funzione si occupa infatti di scansionare i file che si scaricano direttamente in fase di download, in modo da rendere vani i tentativi malevoli di quel tipo. Puoi approfondire meglio la questione nel mio tutorial generale su come funziona NordVPN.

Potrebbe poi interessarti dare un’occhiata a Surfshark One, soluzione di protezione dalle minacce informatiche più completa. Si fa infatti riferimento proprio a un antivirus a 360 gradi, per quanto Surfshark sia un servizio maggiormente conosciuto come VPN. Per ulteriori indicazioni, puoi fare riferimento alla mia guida generale su come funziona Surfshark One.

C’è poi l’interessante servizio VPN PrivadoVPN, che in genere attira l’attenzione anche per via del prezzo particolarmente contenuto a cui viene proposto. È proprio alla fase di checkout, in ogni caso, che puoi prestare attenzione, visto che in quest’ultima viene in genere proposto di aggiungere al pacchetto un antivirus con protezione in tempo reale, che corrisponde al nome di PrivadoVPN Sentry. Per maggiori dettagli in generale su questa tipologia di servizio, potrebbe farti piacere consultare la mia guida relativa ai migliori servizi VPN in circolazione.

Controllare il comportamento del browser

Adesso che sei a conoscenza degli strumenti per tenere monitorata la rete Wi-Fi, è giunto il momento di comprendere un’altra questione che potrebbe essere di tuo interesse. Devi sapere, infatti, che la stragrande maggioranza delle “infezioni” relative a un router comporta la modifica dei DNS, cioè dei server utilizzati per “tradurre” gli indirizzi letterali in indirizzi IP numerici, e viceversa.

Usando dei DNS creati “ad-hoc”, i criminali informatici hanno la possibilità di provocare, per esempio, la comparsa di annunci pubblicitari indesiderati su browser, programmi e app, rendere irraggiungibili determinati siti Web o, peggio ancora, spiare il traffico Internet in entrata e in uscita, ottenendo preziose informazioni di navigazione.

Uno dei campanelli d’allarme da tenere maggiormente in considerazione è il comportamento del browser o di altri programmi/app installati sui dispositivi collegati al router. In caso di infezione, è infatti molto probabile che, in modo del tutto inaspettato, vengano automaticamente aperte finestre contenenti pubblicità indesiderata, puro spam o inviti a installare software dannosi (ma spacciati come sani e molto utili). In quest’ultimo caso, potresti ricevere dei falsi messaggi d’allarme, contenuti spesso in una scheda o finestra del browser, che ti avvisano riguardo le (false) minacce già attive sul tuo dispositivo.

Se hai riscontrato un comportamento del genere anche dopo aver effettuato le scansioni indicate in precedenza, ti consiglio di seguire anche quanto ho indicato nella mia guida su come eliminare i falsi avvisi relativi a virus, visto che i malintenzionati potrebbero aver effettuato ulteriori operazioni di browser hijacking.

Controllare le impostazioni di port forwarding

In alcuni casi avanzati, le minacce informatiche relative ai router sono addirittura in grado di effettuare in completa autonomia le operazioni di port forwarding (la cosiddetta apertura delle porte), per far sì che i criminali siano in grado di controllare comodamente da remoto una o più postazioni connesse.

Per verificare se sul tuo router agisce una minacci di questo genere, accedi al pannello di gestione del dispositivo visitando, tramite browser, un indirizzo tra 192.168.1.1, 192.168.0.1 o 192.168.1.254 e digitando, quando necessario, la combinazione di nome utente e password per effettuare il login (che, di solito, è admin/admin o admin/password). Qualora non dovessi riuscirci, puoi dare un’occhiata alla mia guida su come entrare nella pagina del router per ottenere istruzioni più precise sul da farsi.

Ad accesso effettuato, recati nelle impostazioni avanzate del router, individua la sezione relativa alla configurazione delle porte, che puoi trovare sotto il nome di Port forwarding, Port triggering, Virtual server, NAT Forwarding o simili, quindi verifica che al suo interno non siano presenti impostazioni differenti da quelle che hai specificato di tua volontà, magari seguendo la mia guida dedicata all’apertura delle porte sul router.

Qualora la tua analisi dovesse avere esito positivo, elimina prontamente tutte le regole che non conosci: è molto probabile che il tuo router sia rimasto vittima di un attacco informatico e che, di conseguenza, permetta il controllo remoto di uno o più dispositivi collegati. In ogni caso, se identifichi qualcosa di strano, potrebbe interessarti effettuare un reset del router.

Controllare i DNS

A prescindere dall’esito dei precedenti controlli, puoi ottenere la “prova definitiva” della compromissione del tuo router controllando i DNS: come ti ho accennato in precedenza, la maggior parte degli attacchi rivolti ai router si basa sulla modifica di questo importante parametro, in grado di provocare il dirottamento dell’utente su siti contenenti pubblicità o software non gradito, o conseguenze ancor più gravi, come il furto dei dati in transito sulla rete.

Puoi verificare che il tuo router non stia usando dei DNS nocivi nel seguente modo: collegati a questo sito Internet usando il browser di qualsiasi dispositivo connesso al router (sul quale, però, non dev’essere stata effettuata l’impostazione manuale dei DNS), inserisci il modello di router, supera il captcha e attendi qualche secondo affinché l’analisi venga portata a termine. In questo modo, verrai a conoscenza di eventuali vulnerabilità conosciute relative al router in questione.

Cosa fare quando il router è infetto

Hai seguito pedissequamente le istruzioni che ti ho fornito in precedenza per effettuare tutti i controlli del caso e, ahimè, ti sembra ormai evidente che ci sia qualcosa che non va? Le varie scansioni di sicurezza non hanno risolto del tutto la situazione? Sebbene si tratti di una questione di sicurezza decisamente non trascurabile, non è detto che la situazione sia irrimediabilmente compromessa.

A questo punto, però, è bene agire in modo tempestivo, effettuando una serie di passaggi necessari per mettere in sicurezza, il prima possibile, i dati memorizzati sui tuoi dispositivi, l’integrità di questi ultimi e, soprattutto, il tuo traffico Internet. Di seguito ti spiego tutto nel dettaglio.

Dopo aver effettivamente verificato che il router è stato compromesso, devi immediatamente scollegare tutti i device connessi a quest’ultimo, in modo da interrompere l’eventuale controllo/traffico dei dati verso i server dei criminali. Dunque, elimina la rete wireless generata dal router dai device dotati di connettività Wi-Fi (ad es. smartphone, tablet, Smart TV o altri dispositivi connessi). Se non riesci a farlo, onde evitare rischi, spegni completamente i dispositivi coinvolti, almeno finché non provvederai a ripristinare il router.

Fatto ciò, provvedi a scollegare fisicamente i cavi Ethernet dalle prese collocate sul retro del router: in questo modo, la connessione verso i dispositivi collegati via cavo verrà immediatamente interrotta. Infine, scollega anche il cavo dell’ADSL/Fibra (che, solitamente, è inserito nella porta “Internet” dell’apparato di rete) e spegni il router.

Dopo aver interrotto il collegamento fisico tra il tuo router e i criminali che ne avevano preso il controllo, è giunto il momento di mettere in sicurezza tutti i dispositivi che avevi collegato a Internet tramite l’apparecchio compromesso, effettuando una scansione antivirus che possa stanare ed eliminare i software nocivi.

Quest’operazione è assolutamente necessaria per i PC Windows e per i dispositivi Android, notoriamente più vulnerabili alle minacce esterne a causa dell’estrema diffusione e delle dinamiche alla base di tali sistemi operativi. Sebbene i Mac, gli iPhone, gli iPad e altre categorie di device con sistema operativo differente siano in genere più “resistenti” ai più diffusi malware, sarebbe buona norma procedere comunque con l’analisi dei dischi.

Se non sai come effettuare una scansione antivirus e/o non conosci gli strumenti da impiegare, ti consiglio di dare un’occhiata alle mie guide dedicate agli antivirus per Windows, agli antivirus per Mac, agli antivirus per Android e alle tecniche di rimozione dei malware su iPhone (valide anche per iPad).

Qualora non avessi già a disposizione un antivirus e ti si presentasse la necessità di scaricarlo da Internet, non accendere di nuovo il router per effettuare il collegamento Ethernet o Wi-Fi, poiché potresti vanificare quest’operazione o ritrovarti impossibilitato a eseguire il download (i DNS impostati dai criminali, infatti, potrebbero impedirti di raggiungere le pagine dedicate agli antivirus).

Per questo motivo, ti consiglio di affidarti al collegamento tramite rete cellulare: se devi agire su smartphone e/o di tablet dotato di modulo 4G/5G, devi attivare la connessione dati; se, invece, hai necessità di scaricare il tutto sul PC o su altri dispositivi dotati di connettività senza fili, puoi usare il telefono o il tablet per condividere la connessione cellulare tramite hotspot.

Potrebbe non essere il tuo caso ma, molto spesso, i criminali informatici infettano i router per spiare il traffico in transito da e per i dispositivi collegati alla rete, password incluse. Grazie ai moderni standard di cifratura, le chiavi d’accesso inserite sui siti sicuri (home banking, social network, servizi di posta elettronica e così via) non possono essere intercettate facilmente.

Per una maggiore sicurezza, però, ti consiglio comunque di modificare le password dei siti e dei servizi sui quali hai effettuato l’accesso utilizzando un dispositivo collegato al router compromesso: lo so, è un’operazione che potrebbe richiedere tempo, ma è fondamentale per garantire la sicurezza e l’integrità delle tue informazioni personali (e non). Per comodità, ti segnalo di seguito una serie di tutorial, disponibili sul mio sito Web, dedicati alla modifica della password per i più noti siti portali online.

• Come cambiare password BancoPosta
• Come cambiare password Postepay
• Come cambiare password PayPal
• Come cambiare password Gmail
• Come cambiare password Outlook
• Come cambiare password Hotmail
• Come cambiare password Yahoo
• Come cambiare password email
• Come cambiare password Facebook
• Come cambiare password Instagram
• Come cambiare password Netflix
• Come cambiare password Spotify
• Come cambiare password PSN
• Come cambiare password Fastweb

Ora che hai messo in sicurezza i dispositivi coinvolti e i tuoi dati personali, puoi finalmente tornare al router e tentare di rimetterlo in piedi: per farlo, devi innanzitutto ripristinare il firmware del dispositivo, per annullare gli effetti dell’infezione contratta in precedenza.

In che modo? Te lo spiego subito. Per prima cosa, assicurati che il router sia scollegato da Internet, controllando che il cavo dell’ADSL/Fibra-rame/Fibra ottica non sia inserito nella porta preposta, quindi collegalo all’alimentazione elettrica, accendilo e attendi qualche minuto affinché questo si avvii completamente.

In seguito, provvedi a effettuare un ripristino del router, intervenendo sul tasto fisico presente sull’apparecchio: esso si presenta come un piccolo puntino nero rivolto verso l’interno, identificato dalla dicitura RST o RESET. Quando l’hai trovato, premi delicatamente il tasto in questione utilizzando un oggetto appuntito, come la punta di una penna, uno stuzzicadenti, una matita o una graffetta aperta, e tienilo premuto per circa 30 secondi, fin quando le luci del dispositivo non si spengono e si riaccendono velocemente.

A ripristino del router ultimato, devi accedere al suo pannello gestionale tramite un qualsiasi PC (collegato, se possibile, tramite cavo Ethernet) ed effettuare di nuovo la configurazione iniziale, specificando i parametri necessari per l’accesso a Internet, il nome e la password della rete wireless, le regole per l’apertura delle porte, e così via. Se non sai come procedere, puoi seguire le istruzioni che ti ho fornito nella mia guida alla configurazione iniziale del router, nella quale ho trattato l’argomento con dovizia di dettagli.

Una volta rimesso “online” il router, ti consiglio di effettuare immediatamente un aggiornamento firmware dello stesso, così da portare la versione del sistema operativo interno all’ultima versione, rendendola, ove possibile, invulnerabile alle infezioni già note: tieni però presente che si tratta di un’operazione molto delicata, e che un passaggio errato (ad es. l’installazione di un firmware non adatto) potrebbe rompere definitivamente il dispositivo. Per questo motivo, se non sei sicuro di ciò che stai per fare, ti consiglio di chiedere aiuto a un esperto che possa assisterti.

Ad ogni modo, puoi ottenere il file dell’aggiornamento recandoti sul sito del produttore del router, accedendo alla sezione relativa al download dei firmware e scaricando quello più recente dedicato al router in tuo possesso. In alternativa, puoi digitare su Google le parole “download firmware [marca e modello router]” e utilizzare i risultati forniti per recuperare il file necessario, avendo cura di scaricarlo soltanto da fonti ufficiali.

Fatto ciò, accedi di nuovo al pannello di gestione del router, entra nella sezione dedicata agli aggiornamenti e, seguendo le istruzioni fornite a schermo, provvedi a caricare e installare il file scaricato in precedenza. Se hai bisogno di ulteriori indicazioni in merito, consulta il manuale del router in tuo possesso, oppure effettua una ricerca su Google, utilizzando la frase “aggiornamento firmware [marca e modello router]”. Maggiori dettagli qui.

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.