Criminosos brasileiros têm se aproveitado de falhas em modems ADSL para realizar fraudes. O problema se deve ao fato dos internautas utilizarem  de senhas fracas/padrão e/ou brechas de segurança existente em alguns modelos de modems.

Este tipo de ataque não é detectado e nem impedido por antivírus e firewall existentes no computador do internauta. Os criminosos alteram as configurações do DNS existentes no modem e com isso redirecionam os sites alvo, como bancos ou grandes portais.

Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.

O Ataque

Abaixo vamos relatar um caso real em que um modem ADSL foi comprometido e teve sua configuração de DNS alterada. Um dos sites redirecionados era o da Caixa Econômica Federal. Vamos dar o nome de Paulo para o usuário que teve seu modem invadido. (A Linha Defensiva observa que todos os grandes bancos foram alvo deste ataque, mas queremos apenas ilustrar o problema citando a Caixa.)

Paulo,  que teve o seu modem comprometido, acessa o Internet Banking do seu banco (Caixa Econômica Federal). Observem a página na imagem abaixo:

Site falso da Caixa em endereço legítimo. (Foto: Reprodução)

O endereço que aparece no navegador de Paulo parece ser verdadeiro, mas se  observarmos bem, o https não está presente neste endereço.

Observem agora a verdadeira página do Internet Banking da Caixa:

Site verdadeiro da Caixa, com SSL. (Foto: Reprodução)

A diferença  entre as duas imagens é a presença do https no endereço, que indica que os dados são transmitidos através de uma conexão criptografada.

Para Paulo, ele realmente estava acessando o Internet Banking da Caixa, porque o site falso é idêntico ao verdadeiro e o endereço que aparece no navegador dele é o da Caixa.

Com o modem comprometido utilizando os DNSs do criminoso e um dos sites alvo sendo o da Caixa Econômica Federal, Paulo executou um comando ping, no Prompt de comando do Windows, no endereço “internetbanking.caixa.gov.br”. Veja abaixo o resultado:

Resposta do comando ping dá pistas de redirecionamento. (Foto: Reprodução)

Observamos na imagem acima que na resposta do comando ping existe um endereço do tipo “.clouduol.com.br”. Isso não parece estranho? Como que ao executar um comando ping para o endereço “internetbanking.caixa.gov.br” na resposta aparece um “.clouduol.com.br”?

Isso mostra que ao acessar o endereço “internetbanking.caixa.gov.br”, Paulo estava sendo redirecionado para um outro endereço localizado dentro do “.clouduol.com.br” — diferente do endereço digitado no navegador.

Nos piores ataques, os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros.

Como saber se seu modem foi comprometido com as falsas DNS?

O internauta Paulo passou antivírus/antimalware em seu computador e nada foi encontrado.

Uma outra atitude foi então tomada: Paulo alterou as DNS da conexão do Windows para as DNS do Google (8.8.8.8 e 8.8.4.4) a fim de verificar se o problema era resolvido. Depois de configurar as novas DNS, Paulo então acessou o Internet Banking da Caixa Econômica Federal e constatou que estava no site verdadeiro.

Paulo decide acessar as configurações de seu modem e verificar as DNS que estavam configuradas:

Detalhe da configuração de um modem comprometido. (Foto: Reprodução)

Observamos na imagem acima que existem DNS “200.98…” setadas no modem. Isso é uma prova de que o modem foi comprometido com falsas DNS. Uma medida tomada por Paulo foi resetar o modem para a configuração de fábrica.

Lembre-se: com os servidores DNS alterados no seu modem, todo o trafego de internet do seu computador que não estiver devidamente protegido por SSL (https e afins) pode ser monitorado.

Como se proteger?

  1. Atualize o firmware do seu modem. Geralmente no site do fabricante você verá o download disponível gratuitamente, conforme o modelo. É necessário extremo cuidado para realizar esse procedimento, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
  2. Outra possibilidade é usar o modem no modo Bridge, no entanto isto expõe o seu computador diretamente na internet, deixando-o um pouco mais vulnerável a certos ataques.
  3. Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).
  4. Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .
  5. Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
  6. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem.

Alguns fabricantes de modems já reconheceram as falhas em seus produtos e disponibilizaram atualização, como a D-Link e a Intelbrás.

Anúncios

Escrito por eugui

5 Comments

  1. William4ads 09/11/2012 às 17:05

    parabéns pelo post

    Curtir

    Responder

  2. O post foi muito útil pois creio ter tido o problema. Acontece que o site da D-Link apresentou erro durante toda tarde de ontem, impedino-me de compete a atualização do firmware, além do procedimento descrito por ele não coincidir com o que ele faz, até o ponto em cheguei.

    Curtir

    Responder

  3. ºJosé Airton º 10/11/2012 às 16:01

    Vou atualizar o firmware do meu modem, apesar de não perceber nada de estranho pois tenho senha de proteção, não estamos isentos de tais ataques.

    Curtir

    Responder

  4. Sandra Ferreira 28/07/2013 às 15:49

    Olá, estou passando pelo mesmo problema. Tenho alguns conhecimentos em informa´tica, mas não vou muito longe em configurações avançadas. Tentei dar o ping nos endereços dos bancos, mas não obtive sucesso, pois recebia msgs de erro falando que o tempo havia se esgotado. Gostaria, por favor, de saber se consigo altera a DNS do roteador sozinha com a ajuda dos posts aqui publicados ou se terei de chamar outra pessoa. O chato é que quem eu conheço opta sempre pela formatação e eu não queria formatar a máquina novamente. Agradeço desde já pela resposta
    Sandra

    Curtir

    Responder

  5. O meu problema foi resolvido! Parabéns pelas informações! Ao tentar acessar o internet banking da Caixa Econômica Federal estava sendo desviado para página falsa. Já tinha passado anti vírus e anti malware e não tinha resolvido. Depois de ler estas informações verifiquei o modem e estava constando o DNS primário 93.174.93.112 e secundário 8.8.8.8. Alterei para obter o DNS automaticamente e foi solucionado o problema.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s