Hackers estavam conseguindo mudar as configurações dos equipamentos para que usassem um servidor DNS malicioso. |
Uma falha de segurança em alguns roteadores D-Link levou os usuários a um site falso do Banco do Brasil. Quem tentou acessar o site do Itaú também foi prejudicado, já que hackers conseguiram redirecionar o internauta com um servidor DNS malicioso.
Os modelos afetados foram D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B, assim como o Shuttle Tech ADSL Modem-Router 915 WM.
A empresa de segurança Radware descobriu que hackers estavam conseguindo mudar, de forma remota, as configurações do roteador para que o equipamento usasse um servidor DNS malicioso.
Ao tentar visitar bb.com.br, o usuário era levado a um site clonado e falso.
O navegador web avisa que “sua conexão não é privada” apenas se o usuário acessar o endereço com HTTPS.
Caso utilizasse o endereço com HTTP (guardado em um favorito, por exemplo), ele era redirecionado sem qualquer alerta para o site falso.
Já o usuário que tentava acessar o itau.com.br também era redirecionado. No entanto, neste caso, não era para um site clonado, mas sim para um “placeholder”, que é um site genérico substituto.
Ao acessar outros endereços na web, o DNS malicioso redirecionava para o site correto.
A Radware conseguiu detectar 500 tentativas de alterar o servidor DNS em roteadores D-Link desprotegidos.
A empresa usava uma ferramenta conhecida como honeypot, que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor.
O curioso é que apenas os honeypots de São Paulo sofreram tentativas de ataque. Os roteadores em outros países saíram ilesos.
Assim, o hacker chamava menos atenção fora do Brasil, com menos chances de ser descoberto.
O teste foi realizado entre 8 de junho e 10 de agosto.
LEIA TAMBÉM:
LEIA TAMBÉM:
Site clonado do Banco do Brasil
Na versão clonada do site do Banco do Brasil havia campos para inserir agência, conta e senha de oito dígitos.
Após, o usuário era levado a outra tela para inserir o celular, senha do cartão e senha do atendimento telefônico (CABB).
Havia um aviso discreto “Não seguro” na barra de endereço, no caso do Chrome.
Segundo o Tecnoblog, o Google pretende mudar isso: a partir da versão 70, a ser lançada em outubro, esse aviso será vermelho e mais chamativo para sites com HTTP.
Servidor DNS malicioso é retirado do ar
Segundo o Ars Technica, essa operação foi encerrada na manhã da última sexta-feira (10).
Pascal Geenens, pesquisador da Radware, avisou à operadora OVH que ela estava hospedando um servidor DNS malicioso e o site falso do BB.
Os usuários que foram afetados terão que alterar as configurações de DNS manualmente.
Se o procedimento não for realizado, eles não conseguirão acessar a internet
O recomendado é usar o 8.8.8.8 do Google, ou o 1.1.1.1 da Cloudflare.
Em junho deste ano, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou que os usuários reiniciassem roteadores domésticos e de home office para combater infecção pelo malware VPNFilter.