Jak zabezpieczyć swój router domowy przed atakami hakerów?

Dlaczego router przyciąga cyberprzestępców?

• Domyślne hasła i stary firmware – automat skanujący potrzebuje sekund, by znaleźć urządzenie i się do niego dostać. Nie­zmie­nione fabryczne dane logowania („admin/admin”, „root/1234”) to wciąż plaga. Najnowsze badanie LinuxSecurity pokazuje, że 86% użytkowników nigdy nie zmieniło hasła administracyjnego, a 52% nie ruszyło żadnych ustawień fabrycznych routera [2] (badanie dotyczyło użytkowników domowych w Wielkiej Brytanii). Samo pozostawienie routera z ustawieniami „pudełkowymi” daje przestępcy dwie równoległe ścieżki wejścia: próbę loginu na domyślny login i hasło i wykorzystanie znanej dziury w starym oprogramowaniu.

• Stała dostępność – po przejęciu router staje się idealnym elementem botnetu albo punktem „podsłuchu” dla całej sieci. W maju 2025 r. kampania AyySSHush zdołała zrekrutować ponad 9000 routerów ASUS na całym świecie, instalując trwałe backdoory SSH i przekierowując ruch na serwery dowodzenia. Tak przejęte urządzenia służą nie tylko do klasycznych ataków DDoS – coraz częściej działają jako anonimowe proxy w sieciach sprzedających „prywatne” IP do oszustw kartowych, a także jako punkty podsłuchu: przechwytują pakiety DNS i HTTPS w poszukiwaniu np. danych logowania. Ponieważ domowy router rzadko bywa wyłączany, a jego adres IP zmienia się rzadko, atakujący zyskuje stabilny, trudny do wykrycia węzeł, który może miesiącami uczestniczyć w kampaniach spamowych albo pełnić rolę „mostu” do dalszego penetrowania Twojej sieci lokalnej.
• Hijack DNS – zmiana adresów serwerów DNS w routerze pozwala podmieniać strony banków na fałszywe kopie i kraść loginy. Atakujący, po zalogowaniu się do panelu routera, zmienia zaprogramowane tam adresy serwerów DNS. Od tej chwili każde żądanie „google.com” czy „mojbank.pl” przechodzi najpierw przez serwer kontrolowany przez przestępcę. Użytkownik wpisuje poprawny adres w przeglądarce, widzi znany interfejs, ale pracuje już na podszytej witrynie. Atak jest trudny do zauważenia, bo paski adresu i adresy URL wyglądają prawidłowo, a jedyną wskazówką bywa brak kłódki lub ostrzeżenie przeglądarki.
• Brama do inteligentnych gadżetów – włamanie do routera otwiera drogę do kamer, inteligentnych głośników czy konsoli dziecka. Napastnik może w takiej sytuacji podglądać wnętrze domu, nagrywać rozmowy ze smart-głośników, a nawet przejąć kontrolę nad konsolą czy smart-TV, by instalować złośliwe aplikacje. Z punktu widzenia prywatności i bezpieczeństwa to najbardziej „namacalny” skutek włamania do routera – dlatego po każdej zmianie hasła Wi-Fi lub aktualizacji oprogramowania warto też sprawdzić, czy wszystkie urządzenia „smart” mają indywidualne, silne hasła i aktualne oprogramowanie.

Solidne fundamenty bezpieczeństwa

1. Zmień fabryczne hasło administratora – nowe powinno mieć minimum 12 znaków, cyfry, wielkie litery, znaki specjalne; jeżeli sprzęt pozwala, włącz logowanie dwuetapowe.
2. Aktywuj WPA3, a jeśli urządzenie go nie obsługuje – WPA2-PSK z długim, unikalnym hasłem; unikaj WEP i TKIP.
3. Wyłącz WPS (przycisk „one-tap connect”) – to wygoda dla gościa, ale raj dla atakujących bruteforce.
4. Aktualizuj oprogramowanie – ustaw harmonogram albo automatyczne aktualizacje; producenci łatami często zamykają krytyczne dziury.
5. Zablokuj administrację z WAN – panel zarządzania routerem powinien być widoczny tylko od wewnątrz. Panel konfiguracyjny większości routerów jest fabrycznie dostępny z adresu typu 192.168.0.1 lub http://routerlogin. Część producentów dodatkowo udostępnia go na publicznym porcie (zwykle :8080 lub :8443), żeby użytkownik mógł łatwo zarządzać nim z dowolnego miejsca. W ustawieniach routera wyłącz dostęp przez WAN.

Zaawansowane techniki zabezpieczania domowego routera

• Sieć gościnna – router może nadawać dwa (lub więcej) różne identyfikatory sieci Wi-Fi (SSID). Jeden zostawiasz dla siebie, drugi – dla odwiedzających lub urządzeń typu smart-żarówka, robot sprzątający, telewizor. Gość, który dostaje hasło do sieci gościnnej, widzi tylko Internet – nie widzi Twojego laptopa ani dysku sieciowego. Podobnie z tanimi gadżetami inteligentnymi – jeśli kamerka ma lukę w oprogramowaniu, atakujący „utknie” w sieci gościnnej, zamiast przejść dalej. Tę opcję można włączyć w ustawieniach Wi-Fi.
• Segmentacja VLAN – wyobraź sobie autostradę z wieloma pasami. Chociaż fizycznie to jedna droga (ten sam kabel lub Wi-Fi), każdy pas prowadzi samochody do innego zjazdu. VLAN działa podobnie: dzieli jeden kabel/sieć Wi-Fi na kilka wirtualnych, odseparowanych sieci. Możesz dzięki temu rozdzielić urządzenia do pracy, rozrywki i domowe. W efekcie nawet jeśli przestępca włamie się do jednej sieci, nie będzie miał dostępu do pozostałych. Ta opcja powinna być dostępna w oprogramowaniu routera.
• Filtracja MAC / Access-List – nie zastąpi silnego hasła, ale utrudnia rekonesans skanerom automatycznym. Każda karta sieciowa ma unikalny numer identyfikacyjny, tzw. adres MAC. W routerze włączasz filtrowanie po MAC i dopisujesz do listy tylko te numery, które mogą łączyć się z Wi-Fi. Haker może podszyć się pod Twój MAC, ale wymaga to dodatkowego wysiłku.
• Firewall w routerze – czym jest firewall? To zestaw reguł, które mówią: „jak coś puka od Internetu, sprawdź, czy ma prawo wejść”. Domowe routery mają prosty, ale skuteczny firewall wbudowany.

Jak wykryć, że ktoś buszuje po Twojej sieci?

Reaguj na ataki! Plan w trzech krokach

1. Odcięcie i reset – wypnij kabel WAN, zrób twardy reset routera, wgraj nowe oprogramowanie, skonfiguruj urządzenie od zera.
2. Weryfikacja urządzeń – przeskanuj komputery antywirusem, zwróć uwagę na tzw. trojany w Windows i boty w inteligentnych gadżetach.
3. Zmiana haseł krytycznych usług (bank, e-mail, media społecznościowe) z komputera podłączonego przez LTE albo VPN do zaufanej sieci.