segunda-feira, 13 de agosto de 2018

Falha de segurança em roteadores D-Link levava a falso site do BB

O que você achou? 
Hackers estavam conseguindo mudar as configurações dos equipamentos para que usassem um servidor DNS malicioso.

Uma falha de segurança em alguns roteadores D-Link levou os usuários a um site falso do Banco do Brasil. Quem tentou acessar o site do Itaú também foi prejudicado, já que hackers conseguiram redirecionar o internauta com um servidor DNS malicioso.

Os modelos afetados foram D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B, assim como o Shuttle Tech ADSL Modem-Router 915 WM. 



A empresa de segurança Radware descobriu que hackers estavam conseguindo mudar, de forma remota, as configurações do roteador para que o equipamento usasse um servidor DNS malicioso. 

Ao tentar visitar bb.com.br, o usuário era levado a um site clonado e falso.

O navegador web avisa que “sua conexão não é privada” apenas se o usuário acessar o endereço com HTTPS. 

Caso utilizasse o endereço com HTTP (guardado em um favorito, por exemplo), ele era redirecionado sem qualquer alerta para o site falso.

Já o usuário que tentava acessar o itau.com.br também era redirecionado. No entanto, neste caso, não era para um site clonado, mas sim para um “placeholder”, que é um site genérico substituto.

Ao acessar outros endereços na web, o DNS malicioso redirecionava para o site correto. 

A Radware conseguiu detectar 500 tentativas de alterar o servidor DNS em roteadores D-Link desprotegidos. 

A empresa usava uma ferramenta conhecida como honeypot, que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor.

O curioso é que apenas os honeypots de São Paulo sofreram tentativas de ataque. Os roteadores em outros países saíram ilesos.

Assim, o hacker chamava menos atenção fora do Brasil, com menos chances de ser descoberto. 


Site clonado do Banco do Brasil


Na versão clonada do site do Banco do Brasil havia campos para inserir agência, conta e senha de oito dígitos. 

Após, o usuário era levado a outra tela para inserir o celular, senha do cartão e senha do atendimento telefônico (CABB).

Havia um aviso discreto “Não seguro” na barra de endereço, no caso do Chrome. 

Segundo o Tecnoblog, o Google pretende mudar isso: a partir da versão 70, a ser lançada em outubro, esse aviso será vermelho e mais chamativo para sites com HTTP.

Servidor DNS malicioso é retirado do ar


Segundo o Ars Technica, essa operação foi encerrada na manhã da última sexta-feira (10). 

Pascal Geenens, pesquisador da Radware, avisou à operadora OVH que ela estava hospedando um servidor DNS malicioso e o site falso do BB.

Os usuários que foram afetados terão que alterar as configurações de DNS manualmente

Se o procedimento não for realizado, eles não conseguirão acessar a internet

O recomendado é usar o 8.8.8.8 do Google, ou o 1.1.1.1 da Cloudflare.

Em junho deste ano, o Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou que os usuários reiniciassem roteadores domésticos e de home office para combater infecção pelo malware VPNFilter.



2 comentários:

  1. E olha que o D Link e um dos mais conhecidos, e considerados roteadores bons do mercado, aproveitaram que no Brasil mal se tem segurança, pelo menos e uma empresa estrangeira e resolveram o problema, mais atualmente uso um roteador Link One, só não tenho D Link, pois comprei há tempos pelo site da Casas Bahia e me roubaram, ao menos devolveram meu dinheiro.

    ResponderExcluir
  2. Eu tinha um Dlink, DIR 615 que levava ao site falso tanto no windows quanto no Debian (linux) . Na época, achei que algum spy, malware ou algo do tipo tinha evoluido tanto que conseguia infectar os dois tipos de Sistemas operacionais e parei de usar o BB na internet.

    ResponderExcluir

Ao deixar a sua opinião no Minha Operadora você concorda em respeitar o nosso Código de Conduta.