Falha está em modems ADSL de diferentes fabricantes. (Foto: 4shaws / SXC)
Alguns criminosos brasileiros têm preferido atacar modems e roteadores em vez de infectar diretamente o sistema operacional do internauta. Eles fazem isso por meio de uma falha de segurança presente em alguns modelos de modems ADSL, alteram o servidor DNS e depois redirecionam os sites alvo, como os bancos ou grandes portais.
Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.
Isso porque geralmente esses exploits abusam de falhas de segurança presentes no firmware[1. Firmware é o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É armazenado permanentemente num circuito integrado de memória de hardware.] do equipamento, o que lhes permite ter acesso ao painel de administração. Ali os criminosos podem mudar toda a configuração do equipamento, ver a estrutura da rede conectada ao dispositivo, entre outros.
No Brasil, isso tem sido usado para invadir modems e alterar os servidores DNS, que estão normalmente configurados para o provedor, para um sistema controlado pelos criminosos.
Desde meados do ano passado temos presenciado muitos desses ataques no Brasil. No fórum da Linha Defensiva existe um tópico sobre o assunto, no qual diversos usuários, clientes dos maiores provedores de internet no país, relataram sofrer redirecionamentos. Cibercriminosos brasileiros comprometeram modems ADSL pelo país, numa onde ataques regulares, silenciosos e efetivos, com o objetivo de instalar malware nas máquinas ou direcionar as vítimas para sites falsos.
Como funcionam os ataques
Se um modem ADSL está exposto na internet e usa a senha padrão, não é difícil ele ser atacado e os servidores DNSs do equipamento trocados. Como os números IP são em ordem numérica, os criminosos brasileiros estão utilizando scripts automatizados que varrem os endereços IP, sequencialmente, buscando um equipamento vulnerável e exposto.
A Linha Defensiva tem observado vítimas entre os mais diferentes provedores de internet, desde grandes até pequenos – isso não é exclusividade de um ou de outro.
Por falha ou senha fraca configurada no roteador, os servidores de DNS são alterados. (Foto: Reprodução)
Trocar a senha, no entanto, não impede o ataque em alguns modems. Certos aparelhos possuem uma brecha que permite descobrir a senha remotamente – e os criminosos brasileiros tem tirado proveito disso também.
Logo após ter acesso, o criminoso irá alterar os servidores DNS e a senha do equipamento. Se o usuário tentar acessar o painel de administração do modem, não irá conseguir. Nos casos analisados e reportados por alguns usuários, as senhas usadas pelos criminosos geralmente tem sido “dnschange”, “dn5ch4ng3” ou “ch4ng3dn5, por exemplo.
Para saber se o modem que você usa é vulnerável, basta tentar acessar o arquivo “password.cgi” no modem. Se o acesso funcionar, o modem provavelmente é vulnerável, porque a senha estará revelada no código fonte da página. Um exploit específico, tornado público em março de 2011, consegue explorar esse problema.
Entre os modems confirmados com a falha estão o 500B e o 2640B da D-Link, mas outros fabricantes como Comtrend e Intelbrás também tem modelos afetados. O problema existe no chipset da Broadcom, que é usado por vários fabricantes.
Sintomas: como saber se fui atacado?
É preciso verificar a configuração de DNS do roteador para ter certeza, mas normalmente há alguns sintomas visíveis.
Nos primeiros ataques registrados os usuários eram direcionados pelo DNS malicioso configurado no equipamento para uma página maliciosa oferecendo um suposto “Google Defence”:
Redirecionamento do Google oferecia praga digital. (Foto: Reprodução)
Algumas vezes, por problema de sobrecarga nos servidores de DNS maliciosos as vitimas viam uma página de hospedagem ao tentar acessar portais web populares:
Páginas de grandes portais e serviços de e-mail também eram redirecionadas. (Foto: Reprodução)
Nos piores ataques os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros. Nos ataques monitorados pela Linha Defensiva observou-se que vários modems ADLS comprometidos direcionavam para páginas falsas de banco em apenas alguns horários do dia, para não levantar suspeita do usuário.
Lembre-se: com os servidores DNS alterados no seu modem todo o trafego de internet do seu computador pode ser monitorado.
Como se Proteger dos ataques?
Existe um procedimento bastante simples que permite saber se seu modem ADSL está vulnerável e suscetível a ataques:
- Descubra o IP que seu modem está usando. Isso pode ser feito por meio da configuração de “Gateway” na sua configuração de rede e, em alguns casos, o IP externo também funciona. Você pode descobri-lo visitando sites como o http://www.omeuip.com
- Abra seu navegador e digite na barra de endereço: http://%5Bip do seu modem]/password.cgi
- Verifique o código fonte da página que será exibida. Se seu modem estiver vulnerável você verá a senha do equipamento.
Caso seu modem esteja vulnerável ou não, é necessário tomar alguma atitude:
- Atualize o firmware do seu modem. Geralmente no site da fabricante você verá o download disponível gratuitamente conforme o modelo. Porém para fazê-lo é necessário extremo cuidado, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
- Outra possibilidade é usar o modem no modo Bridge
- Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).
- Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .
- Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
- Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem.
Linha Defensiva 
meu, vocês não deveriam fazer um tutorial do golpe para os script kids aproveitarem. Nem todo usuário acessa teu site (para saber como se proteger), mas tenho certeza que vários scriptkidizinhos acessa e vai aprender a atacar.
CurtirCurtir
Se os fabricantes acham ruim, eles que deveriam tomar a atitude de ter avisado todo mundo. No ano passado. Agora é tarde. A maioria das pessoas que poderiam ter sido invadidas já foram — e antes do artigo ser publicado.
CurtirCurtir
Mas ter um link para um código de Exploit é totalmente desnecessário para a matéria, como também irresponsável.
CurtirCurtir
Discordo. O conteúdo está acessível. Basta pesquisar no Google. Tem momentos em que não é possível dar uma informação com credibilidade de outra forma. Repito que achar que algum criminoso “aprendeu” algo com isso é subestimar muito o tipo de gente que já praticou essas invasões.
CurtirCurtir
Seria como um médico fazer um artigo científico sobre a gripe A e julgar que para ter credibilidade, precisa incluir no papel uma amostra do vírus vivo para seus leitores. Sem nexo, né?
Mas você é um irresponsável com uma desculpa furada.
CurtirCurtir
Muito longe esse seu exemplo. Pode chamar a Symantec de irresponsável, já que eles têm o SecurityFocus com um monte de link para exploit/POCs. Essa é uma prática bastante comum no campo da segurança da informação. Conferências de segurança são organizadas em torno desse tipo de conhecimento, ao passo que duvido muito que em conferências de medicina as pessoas vão lá trocar amostras de vírus.
Estamos aqui no Linha Defensiva ajudando pessoas há anos a resolver problemas. Sabemos o que coloca as pessoas risco e fazemos decisões bem difíceis às vezes. Essa não foi uma delas.
CurtirCurtir
Vale dizer mais uma coisa: o código que referenciamos não está completo para ser usado em um ataque real.
CurtirCurtir
cara vc é muito burro…lamer do caraio…
vai dar meia hora de cu vai
CurtirCurtir
Não só desativar o serviço HTTP, mas tambem os serviços TELNET, e TFTP.
E no caso de “servidores DNS alternativos”, uma boa dica para reforça um pouco a segurança do usuário, é usar DNS de Antivirus.
Norton Antivirus
https://dns.norton.com/dnsweb/huConfigurePc.do
Ou Comodo Antivirus:
http://www.comodo.com/secure-dns/
*Aconselho o do Norton!
E outra dica: Quando for acessar o painel de configuração do Modem/Roteador, pelo navegador e na hora que for sair, tem muitos que simplimente só fecham a janela e pronto, pois no painel de configuração administrativo, não tem a opção “Logoff” para sair do painel.
Então o que fazer.., sempre que acessar o painel de configuração, fazer uma limpeza do cache do navegador, uma limpeza com o CCleaner já resolve. ;)
CurtirCurtir
LAURO K
…MEU ROTEDOR É HUAWEY ES172 E PARA ENTRAR NO PROGRAMA DELE EU DIGITAVA O IP 192.168.1.1.AGORA COM ESSE IP NÃO CONSIGO ENTRAR NA PÁGINA DO APARELHO. SIGNIFICA QUE ESTOU NA MÃO DE ALGUM INVASOR?…A VIVO TENTOU ME FORÇAR NAVEGAR COM O PROGRAMA DELA …AI FOI UM PROBLEMA ME LIVRAR DELA…COMO FAÇO PARA RESPONSABILIZAR ESSAS OCORRENCIAS….?
CurtirCurtir
minha linha defensiva tem sido usar o sistema linux. já redirecionaram meu modem várias vezes para um arquivos cdl do windows, disfarçado de atualização do flashplayer, assim que a tela do google abre. como o trojan nao funciona no linux, eu apenas sei que tenho de reconfigurar o modem novamente. O MODEM-ROTEADOR da D-LINK DSL-2640B é um dos que tem o defeito, é um dos mais vendidos (out/2012). Para entrar na pagina de senhas, basta ir no navegador e digitar na linha de endereços 10.1.1.1/passwords.cgi, salvar a pagina, abrir no word para ver sua senha lá!!! MEU, QUE FURO DESSES FABRICANTES FALA SERIO… e depois tem gente que diz que os hackers tão com os dias contados. desse jeito? kkkkkkkkkkkk
CurtirCurtir
A proposito, a atualização do firmware é fácil no caso da D-Link, que disponibiliza um programa que funciona (!), basta rodar que ele baixa a atualização. É programa para Windows, mas os usuários Linux rodam ele facilmente e sem problemas via WINE.
CurtirCurtir
Não funciona pra min o 10.1.1.1 e é meu Gateway padrao e nem
http://%5Bip do seu modem]/password.cgi
meu modem ta com esse problema e nao consigo mais acessar ele.
CurtirCurtir
Troquei de modem e por 1 dia não tive problemas… hoje voltou. não sei mais o que fazer…
CurtirCurtir
ok… Alterei o Dns na placa da rede e a navegação voltou…..
Não consigo nem mesmo acessar meu modem… vou trocar ele…
Mas e o Windows? algo para remover?
CurtirCurtir
Estou sendo vítima disso e só pergunto uma coisa: não entendo patavinas de informática. A GVT só me diz que vai informar o problema. A D-Link não me atende porque meu modem foi presente e naum tenho a nota fiscal, sem nota fiscal, não podem me ajudar. O que eu faço?
CurtirCurtir
Troquei a senha do modem na tentativa de impedir o redirecionamento para páginas falsas de banco. Estou sem poder acessar nenhum banco por causa desse redirecionamento e não sei mais o que fazer. Será que tenho que formatar o computador?
Grata
CurtirCurtir
Oque fazer seu eu ja tiver sido invadido?
CurtirCurtir
Valeu Cara!!!!! resetei o moden troquei a senha de administrador e o site do banco Bradesco esta ok. Muito Obrigado.
CurtirCurtir
Eu estou com esse problema, quase caímos nessa do site falso. Vc pode me dar uma dica de como fazer isso? Eu não entendo muito de computadores, pedi ajuda para a assistência técnica da Oi e eles se recusaram, duas vezes. A primeira quando o banco mandou procurar a eles, e a segunda quando descobri o que era o problema e achei essa página.
Só resetando e trocando a senha funciona?
CurtirCurtir
Muito informativa a materia. Agora eh um absurdo as companhias telefonicas saberem dessa brecha e nao tomarem um providencia. falar com uma delas pelos SAC esta se tornando um caso de policia ; elas simplesmente nao atendem. Eh um total desrespeito com os clientes.
Mudei o possivel nas configuracoes de um modem ZTE fornecido pela OI Velox, mas mesmo assim tenho receio de que ele continue vulneravel..
Grato.
CurtirCurtir
Todos os computadores conectados a minha rede em casa, quando acessavam o site do bradesco, acessavam o site clonado. Scannei a rede com o AVAST, e o programa avisou que o login e senha do roteador eram muito fracos, segui as orientaçoes do antivirus e voltou tudo ao normal. Sei la, as vezes ate o pessoal q configura esses roteadores pode deixar essas facinhas de ma fe mesmo…so sei que ja tive uns 4 cartoes de credito clonados, alem do site do bradesco
CurtirCurtir
párem de ser ingênuos! quem faz isso são as próprias empresas (internet + bancos) é golpe conjunto. Esses hackers são os proprios hackers das empresas contratados para isso. Com isso eles ganham muito dinheiro aplicando esses golpes. Imagine por exemplo qto de dinheiro deve ganhar a anatel com proprina para permitir que todos os esquemas continuem rolando… um alimenta o outro e por fim, todos usam do sistema. É assimq ue funciona o mundo real do planeta terra. Párem de ser ingênuos acreditando que são hackers caseiros que fazem isso. Isso é tudo coordenado pela empresa que oferece a internet. todos corruptos! eu já vi funcionarios (em feriado, sem uniforme) mexendo nas caixas de telefonias nas calçadas. pra quê? para dar problema, chegar no dia seguinte e eles ganharem dinheiro (uma vez que sao terceirizados) atendendo aos problemas. Por isso muitos casos eles resolvem apenas com um telefonema. Por que ja fica um cara na central pronto pra reativar tudo! Tudo é golpe! Eu quero ver aqui aparecer algum promotor com pinto grande (CORAGEM) para denunciar tudo isso! Cadê? cade o pica-fuma pra denunciar todo esse esquema???? to de saco cheio dessa bosta de brasil, ô pais filho da puta! Tem que morrer tomo mundo aqui! nal salva ninguem!
CurtirCurtir
Comecem com o reset do roteador e configuração de uma senha segura (Caracteres especias, números e letras maiúsculas e minúsculas. Depois verifiquem o problema do password.cgi e atualizem o firmware caso tenha problemas.
CurtirCurtir
Uma pergunta, na foto o cara não censurou o mac adress sera que ele esqueceu disso?. Muito cuidado com isso ae.
CurtirCurtir
Achei Perfeito o artigo. Aconteceu isto hoje comigo. E justamente este arquivo me deu a luz. Eu entrava no SHELL do DOS e dava o PING e descobri que estava apontando para o mesmo IP para CAIXA e BB. Ou seja 158.69.166.247 e 158.69.171.254. AI VEIO NA MINHA CABEÇA, A CAIXA E O BB COMPARTILHANDO MESMO IP?!?!?!?! IMPOSSÍVEL
Entrei no modem, descobri O MALDITO DNS lá, voltei para o DNS normal da OI que é 8.8.8.8 e 8.8.4.4 – Em 17/02/2017 AS 15:54
Quando deveria estar indo para 200.201.165.253 (CAIXA) E 170.66.11.10 (BB)
Melhor é comprar um roteador novo. Do que ficar atualizando velhos. Mas achei perfeito. Pena que nem o BANCO DO BRASIL nem a CAIXA sem interessam em denunciar os ladrões, etc… Ah se eu pudesse hoje mandar FOGO DO CÉU cair no computador destes ladrões ordinários sem escrúpulos. Quero todos na cadeia.
Agora como é que eu IA IMAGINAR QUE BANDIDOS INVADEM O MODEM SEU!!! TERRÍVEL!!! CADEIA NELES!!!!
CurtirCurtir