与您的症状一致的一种常见攻击方法是 DNS 劫持，这是攻击者用来使您的计算机相信您的银行网站“www.mybank.com”实际上位于他们控制下的服务器 IP 的任何手段在您的银行控制下的 IP。当您在任何浏览器中输入此内容时，它会前往恶意服务器，然后该服务器会向您显示一个与您的银行自己的页面非常相似的页面，并希望您在不知道差异的情况下登录。

受感染的路由器可能会导致您的 DNS 请求全部通过它，因此在返回时会被恶意 IP 替换，而使用 VPN 会绕过它并向您显示正确的站点。此外，您网络上的另一台设备可能不会使用本地路由器作为其 DNS 服务器，这也可能导致它不会受到基于相同路由器的攻击。

要判断是否是 DNS 问题，请从受影响的计算机尝试 ping 银行的基本主机名（URL 的第一部分），查看返回的 IP。然后检查 arin.net 之类的网站上的 IP 所有权，如果它不属于您的银行或有信誉的 CDN 提供商，那么您知道您正在进行 DNS 劫持。

您也可以通过将找到的 IP 粘贴到浏览器栏中来测试它，看看会发生什么，但由于您的浏览器可能会向您显示一个看起来就像您的银行网站的页面，除非您彻底查看 TLS 证书信息确保它确实是您的银行。另一个可能的结果是它会将新站点标记为恶意（如果它尝试向您显示带有无效证书的 TLS 加密页面），但这也不能保证会发生。

编辑：有关路由器妥协的更多信息

攻击者有几种可能的方法来强迫你的路由器做你不想要的事情：他们可以简单地远程登录，如果路由器暴露在互联网上（很多都是）并且凭据是默认的（很多是）。任何时候都应该避免这两种情况。一些路由器具有允许攻击者绕过密码的固件漏洞；应经常寻找和应用更新的固件。基于浏览器的漏洞利用也是可能的：站点中的恶意软件、广告等将追踪路由器的默认 IP/凭据，通过使用您自己的计算机来绕过外部访问限制，然后编写类似的更改脚本将 DNS 服务器设置为恶意服务器。

对像这样的原始路由器设置劫持努力的另一个简单缓解也是简单地将您的计算机设置为使用特定的 DNS 主机，例如古老的 8.8.8.8（谷歌的高可用性基于任播的 DNS 服务器网络），如果它仍然有可能被劫持您的路由器已 100% 受损，所有 53 端口 UDP 流量都被重定向，但更简单的攻击（如设置）无法做到这一点，因此它会被有效阻止。

似乎是一个带有 DNS 欺骗的中间人攻击。我建议从这样的在线服务执行 ping并检查站点的 IP 地址。然后将其输入您的浏览器 URL 栏中，并检查您是否被重定向到虚假网站。

所以他们黑了我的路由器？我什至不知道这是可能的，但现在我想起来了，它可以在 LAN 上远程访问，并且用户名/密码是制造商的默认设置。现在硬重置路由器然后更改用户名/密码就足够了吗？

1. 将路由器的最新固件下载到计算机。扫描恶意软件。
2. 断开路由器与除包含固件更新的计算机之外的所有网络设备的连接。如果您的路由器支持从 USB 设备更新固件，那就更好了（因为您可以断开所有网络设备）。
3. 将路由器重置为出厂默认设置。
4. 更新固件并更改 admin/root 帐户的密码（如果可能，还要更改帐户名称）。
5. 再次输入您的网络设置并重新连接所有网络设备。

另一个问题是，他们最初是如何访问我的路由器的？我的 BIL 是否也应该格式化他的笔记本电脑以防它是病毒？

有许多可能的攻击媒介，但最有可能是外部攻击者使用了路由器固件中的已知漏洞。修补固件应该有望修复任何此类漏洞。如果是这种情况，我也发现计算机恶意软件不太可能对此负责......但最好还是在安全方面犯错。您应该对所有适用的网络设备进行恶意软件扫描。

如果路由器有任何设置表明可以从外部地址（WAN 端）登录或管理路由器，则应始终禁用此设置，除非您对此有非常特殊的需求并且知道如何防止未经授权的访问。

这是一个尝试缩小问题所在的建议。在 Chrome 中，我建议打开一个隐身窗口，然后打开开发者工具。切换到网络选项卡。在 Chrome 中输入正确的 URL，然后按 Enter。如果网络选项卡中的请求具有错误的 URL，那么您的计算机上的某些东西正在更改 URL（可能是在各种浏览器上自动安装的错误插件？）。如果您返回 302，则问题不在您的机器上。在这种情况下，某事正在返回恶意响应。这可以帮助您集中精力进行研究。