Ataques a modems ADSL: como identificar e resolver o problema

Criminosos brasileiros têm se aproveitado de falhas em modems ADSL para realizar fraudes. O problema se deve ao fato dos internautas utilizarem  de senhas fracas/padrão e/ou brechas de segurança existente em alguns modelos de modems.

Este tipo de ataque não é detectado e nem impedido por antivírus e firewall existentes no computador do internauta. Os criminosos alteram as configurações do DNS existentes no modem e com isso redirecionam os sites alvo, como bancos ou grandes portais.

Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.

O Ataque

Abaixo vamos relatar um caso real em que um modem ADSL foi comprometido e teve sua configuração de DNS alterada. Um dos sites redirecionados era o da Caixa Econômica Federal. Vamos dar o nome de Paulo para o usuário que teve seu modem invadido. (A Linha Defensiva observa que todos os grandes bancos foram alvo deste ataque, mas queremos apenas ilustrar o problema citando a Caixa.)

Paulo,  que teve o seu modem comprometido, acessa o Internet Banking do seu banco (Caixa Econômica Federal). Observem a página na imagem abaixo:

O endereço que aparece no navegador de Paulo parece ser verdadeiro, mas se  observarmos bem, o https não está presente neste endereço.

Observem agora a verdadeira página do Internet Banking da Caixa:

A diferença  entre as duas imagens é a presença do https no endereço, que indica que os dados são transmitidos através de uma conexão criptografada.

Para Paulo, ele realmente estava acessando o Internet Banking da Caixa, porque o site falso é idêntico ao verdadeiro e o endereço que aparece no navegador dele é o da Caixa.

Com o modem comprometido utilizando os DNSs do criminoso e um dos sites alvo sendo o da Caixa Econômica Federal, Paulo executou um comando ping, no Prompt de comando do Windows, no endereço “internetbanking.caixa.gov.br”. Veja abaixo o resultado:

Observamos na imagem acima que na resposta do comando ping existe um endereço do tipo “.clouduol.com.br”. Isso não parece estranho? Como que ao executar um comando ping para o endereço “internetbanking.caixa.gov.br” na resposta aparece um “.clouduol.com.br”?

Isso mostra que ao acessar o endereço “internetbanking.caixa.gov.br”, Paulo estava sendo redirecionado para um outro endereço localizado dentro do “.clouduol.com.br” — diferente do endereço digitado no navegador.

Nos piores ataques, os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros.

Como saber se seu modem foi comprometido com as falsas DNS?

O internauta Paulo passou antivírus/antimalware em seu computador e nada foi encontrado.

Uma outra atitude foi então tomada: Paulo alterou as DNS da conexão do Windows para as DNS do Google (8.8.8.8 e 8.8.4.4) a fim de verificar se o problema era resolvido. Depois de configurar as novas DNS, Paulo então acessou o Internet Banking da Caixa Econômica Federal e constatou que estava no site verdadeiro.

Paulo decide acessar as configurações de seu modem e verificar as DNS que estavam configuradas:

Observamos na imagem acima que existem DNS “200.98…” setadas no modem. Isso é uma prova de que o modem foi comprometido com falsas DNS. Uma medida tomada por Paulo foi resetar o modem para a configuração de fábrica.

Lembre-se: com os servidores DNS alterados no seu modem, todo o trafego de internet do seu computador que não estiver devidamente protegido por SSL (https e afins) pode ser monitorado.

Como se proteger?

1. Atualize o firmware do seu modem. Geralmente no site do fabricante você verá o download disponível gratuitamente, conforme o modelo. É necessário extremo cuidado para realizar esse procedimento, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
2. Outra possibilidade é usar o modem no modo Bridge, no entanto isto expõe o seu computador diretamente na internet, deixando-o um pouco mais vulnerável a certos ataques.
3. Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).
4. Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .
5. Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
6. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem.

Alguns fabricantes de modems já reconheceram as falhas em seus produtos e disponibilizaram atualização, como a D-Link e a Intelbrás.

• Postagem da D-Link sobre a falha