一些獨(dú)立的安全研究表明，一些3G和4G的USB調(diào)制解調(diào)器有安全漏洞，從而允許黑客訪問網(wǎng)絡(luò)，進(jìn)而進(jìn)行釣魚詐騙。

[[108763]]

來自瑞典的Andreas Lindh表明，他看過的調(diào)制解調(diào)器都是通過內(nèi)置的Web服務(wù)器進(jìn)行管理，它們很容易受到一種常見的黑客攻擊——跨站點(diǎn)請(qǐng)求偽造(CRSF)。其產(chǎn)生的后果是，如果一個(gè)家庭用戶訪問了一個(gè)嵌入惡意代碼的網(wǎng)站，黑客就可以訪問并控制他們的調(diào)制解調(diào)器。

Lindh在他的博客上表示黑客對(duì)于控制一臺(tái)調(diào)制解調(diào)器的并不是多么感冒，他們感興趣主要是其中的兩個(gè)關(guān)鍵功能。其中一個(gè)就是可以使用調(diào)制解調(diào)器來發(fā)送SMS信息，這也就意味著黑客可以實(shí)現(xiàn)建立一個(gè)高消費(fèi)頻率的電話通信線路，從而在在用戶毫不知情的情況進(jìn)行金錢的盜取。文中還寫到，不像無線路由器，沒有登錄的功能，所以我并不擔(dān)心可以繞過它的身份驗(yàn)證。

Lindh進(jìn)一步揭示了調(diào)制解調(diào)器的這項(xiàng)弱點(diǎn)可以直接被用于網(wǎng)絡(luò)釣魚攻擊，使用數(shù)據(jù)URI方案，它允許在任何位置加載一個(gè)網(wǎng)頁而無需進(jìn)行任何實(shí)際托管——大部分瀏覽器都可以支持。他可以偽造一個(gè)Facebook登錄頁面，除了記錄受害者實(shí)際的facebook記錄外還竊受害者的登錄憑證。

Lindh同時(shí)指出通過調(diào)制解調(diào)器的SMS短信功能，就可以將受害者的登錄詳細(xì)信息發(fā)送給黑客。他表示用網(wǎng)絡(luò)釣魚來描述這種攻擊是有些牽強(qiáng)的，其實(shí)可以作為病毒式公報(bào)指出(詳見：http://www.virusbtn.com/blog/2014/01_29.xml)，像這樣的調(diào)制解調(diào)器往往是大型企業(yè)的筆記本使用，所以潛在的網(wǎng)絡(luò)釣魚攻擊危害將會(huì)是巨大的。

此外，黑客可以利用允許用戶發(fā)帖評(píng)論的網(wǎng)站諸如論壇進(jìn)行跨站欺騙。黑客在插入惡意內(nèi)碼的同時(shí)，充分利用原有網(wǎng)站的安全信用優(yōu)勢(shì)，誘騙用戶點(diǎn)擊他們的鏈接。Coding horror指出Digg，Gmail 和Wikipedia以及一些其他網(wǎng)站都可能被跨站請(qǐng)求偽造(CSRF)所利用。

去年的時(shí)候，俄羅斯研究人員發(fā)現(xiàn)，許多3G和4G的調(diào)制解調(diào)器經(jīng)常會(huì)內(nèi)置到筆記本電腦中，從而方便了黑客更改互聯(lián)網(wǎng)連接默認(rèn)的DNS服務(wù)器，從而將用戶定向到惡意網(wǎng)站，這也有一種Andreas Lindh’s CSRF的感覺。