24/11/2024

Falha de segurança em roteadores D-Link levava a falso site do BB

Hackers estavam conseguindo mudar as configurações dos equipamentos para que usassem um servidor DNS malicioso.

Uma falha de segurança em alguns roteadores D-Link levou os usuários a um site falso do Banco do Brasil. Quem tentou acessar o site do Itaú também foi prejudicado, já que hackers conseguiram redirecionar o internauta com um servidor DNS malicioso.


Os modelos afetados foram D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B, assim como o Shuttle Tech ADSL Modem-Router 915 WM. 


A empresa de segurança Radware descobriu que hackers estavam conseguindo mudar, de forma remota, as configurações do roteador para que o equipamento usasse um servidor DNS malicioso. 

Ao tentar visitar bb.com.br, o usuário era levado a um site clonado e falso.

O navegador web avisa que “sua conexão não é privada” apenas se o usuário acessar o endereço com HTTPS. 

Caso utilizasse o endereço com HTTP (guardado em um favorito, por exemplo), ele era redirecionado sem qualquer alerta para o site falso.

Já o usuário que tentava acessar o itau.com.br também era redirecionado. No entanto, neste caso, não era para um site clonado, mas sim para um “placeholder”, que é um site genérico substituto.

Ao acessar outros endereços na web, o DNS malicioso redirecionava para o site correto. 

A Radware conseguiu detectar 500 tentativas de alterar o servidor DNS em roteadores D-Link desprotegidos. 

A empresa usava uma ferramenta conhecida como honeypot, que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor.

O curioso é que apenas os honeypots de São Paulo sofreram tentativas de ataque. Os roteadores em outros países saíram ilesos.
Assim, o hacker chamava menos atenção fora do Brasil, com menos chances de ser descoberto. 


Site clonado do Banco do Brasil


Na versão clonada do site do Banco do Brasil havia campos para inserir agência, conta e senha de oito dígitos. 

Após, o usuário era levado a outra tela para inserir o celular, senha do cartão e senha do atendimento telefônico (CABB).

Havia um aviso discreto “Não seguro” na barra de endereço, no caso do Chrome. 

Segundo o Tecnoblog, o Google pretende mudar isso: a partir da versão 70, a ser lançada em outubro, esse aviso será vermelho e mais chamativo para sites com HTTP.

Servidor DNS malicioso é retirado do ar


Segundo o Ars Technica, essa operação foi encerrada na manhã da última sexta-feira (10). 

Pascal Geenens, pesquisador da Radware, avisou à operadora OVH que ela estava hospedando um servidor DNS malicioso e o site falso do BB.

Os usuários que foram afetados terão que alterar as configurações de DNS manualmente

Se o procedimento não for realizado, eles não conseguirão acessar a internet

O recomendado é usar o 8.8.8.8 do Google, ou o 1.1.1.1 da Cloudflare.

Em junho deste ano, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou que os usuários reiniciassem roteadores domésticos e de home office para combater infecção pelo malware VPNFilter.

2 COMENTÁRIOS

Se inscrever
Notificar de
guest
2 Comentários
Mais antigo
Mais recente Mais Votados
Feedbacks embutidos
Ver todos os comentários