Redirecionamentos mostram mensagens falsas. (Reprodução)

Redirecionamentos mostram mensagens falsas. (Reprodução)

A Linha Defensiva vem recebendo diversas reclamações de usuários da NET relatando redirecionamentos para sites como “adfly” no navegador do computador, bem como mensagens de “android infectado” no celular.

O problema é causado por uma alteração na configuração do modem/roteador ARRIS TG862. Não se sabe como essas alterações acontecem, mas é um problema comum em diversos roteadores (ver hipóteses ao final do texto). 

A NET foi consultada pelo portal G1 da Rede Globo e não se pronunciou sobre o assunto.

Este é um guia para reconfigurar o ARRIS TG862 com o objetivo de cessar os redirecionamentos.

Note que o seu Android não está necessariamente infectado. Essas mensagens são todas falsas e aparecem por causa de um redirecionamento do seu acesso à internet, não por causa de qualquer alteração no próprio computador ou celular.

Determine o endereço IP do Gateway

  1. Aperte a tecla WINDOWS do teclado fica entre as teclas CTRL e ALT, ao lado da barra de espaço) junto da tecla R (WIN+R)
  2. Você verá o “Executar”
  3. Digite “cmd”
  4. Clique em OK
  5. Digite o comando ipconfig e aperte Enter
  6. Anote o número que aparece ao lado de Gateway Padrão
  7. É provável que este número seja 192.168.0.1

Abre o Painel do ARRIS

Login no modem ARRIS TG862. Usuário: admin / Senha: password

Login no modem ARRIS TG862. Usuário: admin / Senha: password

  1. Em seu navegador web, coloque o número identificado no passo acima na barra de endereços.
  2. O ARRIS pedirá um usuário e senha
  3. O usuário padrão é admin e a senha é password.
  4. Se isso não der certo e você não souber a senha e o usuário configurados, você precisará realizar um reset do modem. Veja esse vídeo com instruções. Se sua internet parar de funcionar após esse procedimento, você terá que falar com o suporte da NET, então cuidado!

Se der certo, você verá a tela abaixo

Tela inicial após o login. Navegação é feita pelas abas superiores.

Tela inicial após o login. Navegação é feita pelas abas superiores.

Clique na aba LAN Setup

Acesso à aba LAN Setup

Acesso à aba LAN Setup

Role para baixo até encontrar a opção DNS Override

Opção DNS Override

Opção DNS Override

Reconfigure o DNS Override

  1. A foto acima é de um modem sem alterações maliciosos. Em um modem com alterações maliciosas, você verá a caixinha marcada.
  2. Uma opção para solucionar o problema é desmarcar a caixa. Isso forçará o seu modem a usar as configurações recebidas da NET, que devem ser seguras. Para garantir o acesso mais rápido à web, esta é a opção recomendada pela Linha Defensiva.
  3. Uma alternativa é configurar um DNS de terceiros, como o Google. Essa é a configuração mostrada na foto abaixo. Requer que você mantenha a caixa marcada e informe o endereço do DNS desejado. Se você digitar números inválidos, sua internet não funcionará corretamente. Nesse caso, desmarque a caixa para garantir o funcionamento e depois descubra os números corretos que você quer usar. Além do Google (números na foto), há também o OpenDNS.
  4. Seja qual for sua decisão, clique em Apply e reinicie o modem, o computador, o celular e qualquer outro aparelho conectado à sua rede.
ARRIS configurado com o DNS Google, uma das opções para corrigir o problema.

ARRIS configurado com o DNS Google, uma das opções para corrigir o problema. Você também pode simplesmente desmarcar a caixa.

Troque a senha do seu roteador

  1. Para evitar novos ataques, acesse novamente a interface de administração.
  2. Na tela inicial, clique no botão Change Password.
  3. Defina uma nova senha para o acesso. Anote essa senha para não esquecê-la.
  4. Sem isso, você está sujeito a novos ataques.
  5. Após acessar o painel de administração do modem, feche o navegador e abra-o de novo antes de navegar em outros sites, Não salve a senha no navegador.

Como criminosos alteram a configuração?

De uma maneira geral, a alteração da configuração pode ser feita por criminosos porque muitos os equipamentos não incluem proteções adequadas contra ataques chamados de CSRF (Cross-site Request Forgery). Na prática, esse é um ataque muda a configuração do seu roteador quando você acessa uma página da web ou até quando abre um e-mail.

O conteúdo do site ou do e-mail faz com que o navegador acesse um endereço do roteador e esse mero acesso já resulta na alteração da configuração. Então, um hacker pode invadir um site e colocar esse “código modificador” lá. Todo mundo que visitar a página terá a configuração modificada sem nenhum aviso.

Para isso, os criminosos também dependem do conhecimento do usuário e senha do equipamento. Por isso que ela deve ser alterada.

PORÉM, a quantidade de casos desse tipo afetando exclusivamente o ARRIS TG862 é um mistério. Esse equipamento é comprado diretamente pelo provedor de acesso (a NET, no caso) junto ao fabricante. Isso significa que pode existir outra vulnerabilidade ou um problema específico que só a NET e o fabricante conhecem. A Linha Defensiva recebeu relatos de pessoas que verificaram uma alteração no modem imediatamente após recebê-lo — o que é algo muito curioso.

Se mesmo alterando a senha você continuar tendo problemas e seguindo a dica acima, solicite uma alteração do equipamento para a NET, pois a operadora dispõe outros modelos. Caso eles queiram cobrar pela troca, a Linha Defensiva sugere acionar o Procon e a ANATEL. No entanto, você só pode fazer isso depois de tentar resolver o problema, pois só aí você pode alegar que houve uma falha na prestação do serviço.

Se você acionar o Procon por esse motivo, entre em contato com a Linha Defensiva. Temos interesse em saber o resultado. Boa sorte!

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

8 comentários

  1. Moicano Diego 02/08/2015 às 11:29

    Ótimo artigo e muito útil. Estamos com um número crescente de casos envolvendo o ARRIS.

    Curtir

    Responder

    1. Tenho esse roteador, a senha e o (SSID) estavam mudando todo dia… ontem 22/02/2018, acessei o roteador ARRIS TG862 pelo computador. Pra minha surpresa, ao mesmo tempo em que eu trocava o (SSID) e a senha do wi-fi, alguém trocava também… isso ao ponto de trocar mensagens através das caixas de (SSID) e da senha do wi-fi. Desativei o (WPS), filtrei endereços (MAC), ativei (AP Isolation) e mesmo assim não parou. Liguei na Net através do 10621 a atendente apenas repetia que isso era impossível e que eu tinha passado a senha do wi-fi para alguém… Resumindo não resolveram meu problema. Uso o antivírus Kaspersky e instalei o comodo firewall, não sei se vai adiantar.

      Curtir

      Responder

      1. Descobri o problema! no site da Net, Home /Minha Net /Senha WI-FI Casa tem meu login e senha. Só que tem mais dois logins com nomes diferentes e senhas iguais: Vírus 2.4 e outro Vírus 5.0 nomes bem suspeitos não? liguei na Net novamente e expliquei o problema, fiz reset no aparelho… me disseram que não haverá mais interferência, vamos ver?

        Curtir

  2. Isabela Bezerra Loyola 11/08/2015 às 14:34

    Olá! Quando eu tento mudar a senha ele diz “could not change password” , como faço?

    Curtir

    Responder

  3. O que vale lembrar é que hoje há muitos roteadores que estão sendo alvos de ataques deste tipo. O ideal é sempre configurar o roteador com nova senha após instala-lo.

    No caso dos modens da NET, se o relato é que a alteração é feita logo após a instalação, pode ser ou algum “robô” que identifica modens com esta vulnerabilidade e logo que este entra na internet, é alvo de modificação; ou quem instala o modem nos primeiros momentos acessa algum site de risco e nisso a vulnerabilidade é ativada.

    Curtir

    Responder

  4. Lucca Franceschini 13/09/2015 às 20:46

    Desmarquei a caixinha e a internet ficou quase perfeita, o problema foi que a internet está caindo muito frequentemente… alguém sabe o que posso fazer?

    Curtir

    Responder

  5. Anastacio Gomes 07/10/2015 às 19:48

    Caramba !! MUITO Obrigado . Estava com o problema !

    Curtir

    Responder

  6. Como fazer isso em um TP-Link pois não tem esta opção, obrigado desde já.

    Curtir

    Responder

Deixe uma resposta para Vagner "Ligeiro" Abreu Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.