Redirecionamentos mostram mensagens falsas. (Reprodução)

Redirecionamentos mostram mensagens falsas. (Reprodução)

A Linha Defensiva vem recebendo diversas reclamações de usuários da NET relatando redirecionamentos para sites como “adfly” no navegador do computador, bem como mensagens de “android infectado” no celular.

O problema é causado por uma alteração na configuração do modem/roteador ARRIS TG862. Não se sabe como essas alterações acontecem, mas é um problema comum em diversos roteadores (ver hipóteses ao final do texto). 

A NET foi consultada pelo portal G1 da Rede Globo e não se pronunciou sobre o assunto.

Este é um guia para reconfigurar o ARRIS TG862 com o objetivo de cessar os redirecionamentos.

Note que o seu Android não está necessariamente infectado. Essas mensagens são todas falsas e aparecem por causa de um redirecionamento do seu acesso à internet, não por causa de qualquer alteração no próprio computador ou celular.

Determine o endereço IP do Gateway

  1. Aperte a tecla WINDOWS do teclado fica entre as teclas CTRL e ALT, ao lado da barra de espaço) junto da tecla R (WIN+R)
  2. Você verá o “Executar”
  3. Digite “cmd”
  4. Clique em OK
  5. Digite o comando ipconfig e aperte Enter
  6. Anote o número que aparece ao lado de Gateway Padrão
  7. É provável que este número seja 192.168.0.1

Abre o Painel do ARRIS

Login no modem ARRIS TG862. Usuário: admin / Senha: password

Login no modem ARRIS TG862. Usuário: admin / Senha: password

  1. Em seu navegador web, coloque o número identificado no passo acima na barra de endereços.
  2. O ARRIS pedirá um usuário e senha
  3. O usuário padrão é admin e a senha é password.
  4. Se isso não der certo e você não souber a senha e o usuário configurados, você precisará realizar um reset do modem. Veja esse vídeo com instruções. Se sua internet parar de funcionar após esse procedimento, você terá que falar com o suporte da NET, então cuidado!

Se der certo, você verá a tela abaixo

Tela inicial após o login. Navegação é feita pelas abas superiores.

Tela inicial após o login. Navegação é feita pelas abas superiores.

Clique na aba LAN Setup

Acesso à aba LAN Setup

Acesso à aba LAN Setup

Role para baixo até encontrar a opção DNS Override

Opção DNS Override

Opção DNS Override

Reconfigure o DNS Override

  1. A foto acima é de um modem sem alterações maliciosos. Em um modem com alterações maliciosas, você verá a caixinha marcada.
  2. Uma opção para solucionar o problema é desmarcar a caixa. Isso forçará o seu modem a usar as configurações recebidas da NET, que devem ser seguras. Para garantir o acesso mais rápido à web, esta é a opção recomendada pela Linha Defensiva.
  3. Uma alternativa é configurar um DNS de terceiros, como o Google. Essa é a configuração mostrada na foto abaixo. Requer que você mantenha a caixa marcada e informe o endereço do DNS desejado. Se você digitar números inválidos, sua internet não funcionará corretamente. Nesse caso, desmarque a caixa para garantir o funcionamento e depois descubra os números corretos que você quer usar. Além do Google (números na foto), há também o OpenDNS.
  4. Seja qual for sua decisão, clique em Apply e reinicie o modem, o computador, o celular e qualquer outro aparelho conectado à sua rede.
ARRIS configurado com o DNS Google, uma das opções para corrigir o problema.

ARRIS configurado com o DNS Google, uma das opções para corrigir o problema. Você também pode simplesmente desmarcar a caixa.

Troque a senha do seu roteador

  1. Para evitar novos ataques, acesse novamente a interface de administração.
  2. Na tela inicial, clique no botão Change Password.
  3. Defina uma nova senha para o acesso. Anote essa senha para não esquecê-la.
  4. Sem isso, você está sujeito a novos ataques.
  5. Após acessar o painel de administração do modem, feche o navegador e abra-o de novo antes de navegar em outros sites, Não salve a senha no navegador.

Como criminosos alteram a configuração?

De uma maneira geral, a alteração da configuração pode ser feita por criminosos porque muitos os equipamentos não incluem proteções adequadas contra ataques chamados de CSRF (Cross-site Request Forgery). Na prática, esse é um ataque muda a configuração do seu roteador quando você acessa uma página da web ou até quando abre um e-mail.

O conteúdo do site ou do e-mail faz com que o navegador acesse um endereço do roteador e esse mero acesso já resulta na alteração da configuração. Então, um hacker pode invadir um site e colocar esse “código modificador” lá. Todo mundo que visitar a página terá a configuração modificada sem nenhum aviso.

Para isso, os criminosos também dependem do conhecimento do usuário e senha do equipamento. Por isso que ela deve ser alterada.

PORÉM, a quantidade de casos desse tipo afetando exclusivamente o ARRIS TG862 é um mistério. Esse equipamento é comprado diretamente pelo provedor de acesso (a NET, no caso) junto ao fabricante. Isso significa que pode existir outra vulnerabilidade ou um problema específico que só a NET e o fabricante conhecem. A Linha Defensiva recebeu relatos de pessoas que verificaram uma alteração no modem imediatamente após recebê-lo — o que é algo muito curioso.

Se mesmo alterando a senha você continuar tendo problemas e seguindo a dica acima, solicite uma alteração do equipamento para a NET, pois a operadora dispõe outros modelos. Caso eles queiram cobrar pela troca, a Linha Defensiva sugere acionar o Procon e a ANATEL. No entanto, você só pode fazer isso depois de tentar resolver o problema, pois só aí você pode alegar que houve uma falha na prestação do serviço.

Se você acionar o Procon por esse motivo, entre em contato com a Linha Defensiva. Temos interesse em saber o resultado. Boa sorte!

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

8 comentários

  1. Moicano Diego 02/08/2015 às 11:29

    Ótimo artigo e muito útil. Estamos com um número crescente de casos envolvendo o ARRIS.

    Curtir

    Responder

    1. Tenho esse roteador, a senha e o (SSID) estavam mudando todo dia… ontem 22/02/2018, acessei o roteador ARRIS TG862 pelo computador. Pra minha surpresa, ao mesmo tempo em que eu trocava o (SSID) e a senha do wi-fi, alguém trocava também… isso ao ponto de trocar mensagens através das caixas de (SSID) e da senha do wi-fi. Desativei o (WPS), filtrei endereços (MAC), ativei (AP Isolation) e mesmo assim não parou. Liguei na Net através do 10621 a atendente apenas repetia que isso era impossível e que eu tinha passado a senha do wi-fi para alguém… Resumindo não resolveram meu problema. Uso o antivírus Kaspersky e instalei o comodo firewall, não sei se vai adiantar.

      Curtir

      Responder

      1. Descobri o problema! no site da Net, Home /Minha Net /Senha WI-FI Casa tem meu login e senha. Só que tem mais dois logins com nomes diferentes e senhas iguais: Vírus 2.4 e outro Vírus 5.0 nomes bem suspeitos não? liguei na Net novamente e expliquei o problema, fiz reset no aparelho… me disseram que não haverá mais interferência, vamos ver?

        Curtir

  2. Isabela Bezerra Loyola 11/08/2015 às 14:34

    Olá! Quando eu tento mudar a senha ele diz “could not change password” , como faço?

    Curtir

    Responder

  3. O que vale lembrar é que hoje há muitos roteadores que estão sendo alvos de ataques deste tipo. O ideal é sempre configurar o roteador com nova senha após instala-lo.

    No caso dos modens da NET, se o relato é que a alteração é feita logo após a instalação, pode ser ou algum “robô” que identifica modens com esta vulnerabilidade e logo que este entra na internet, é alvo de modificação; ou quem instala o modem nos primeiros momentos acessa algum site de risco e nisso a vulnerabilidade é ativada.

    Curtir

    Responder

  4. Lucca Franceschini 13/09/2015 às 20:46

    Desmarquei a caixinha e a internet ficou quase perfeita, o problema foi que a internet está caindo muito frequentemente… alguém sabe o que posso fazer?

    Curtir

    Responder

  5. Anastacio Gomes 07/10/2015 às 19:48

    Caramba !! MUITO Obrigado . Estava com o problema !

    Curtir

    Responder

  6. Como fazer isso em um TP-Link pois não tem esta opção, obrigado desde já.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s