Guilherme Scombatti
| 09/11/2012 00h44
Criminosos brasileiros têm se aproveitado de falhas em modems ADSL
para realizar fraudes. O problema se deve ao fato dos internautas
utilizarem de senhas fracas/padrão e/ou brechas de segurança existente
em alguns modelos de modems.
Este tipo de ataque não é detectado e nem impedido por antivírus e firewall existentes no computador do internauta. Os criminosos alteram as configurações do DNS existentes no modem e com isso redirecionam os sites alvo, como bancos ou grandes portais.
Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.
Paulo, que teve o seu modem comprometido, acessa o Internet Banking do seu banco (Caixa Econômica Federal). Observem a página na imagem abaixo:
O endereço que aparece no navegador de Paulo parece ser verdadeiro, mas se observarmos bem, o https não está presente neste endereço.
Observem agora a verdadeira página do Internet Banking da Caixa:
A diferença entre as duas imagens é a presença do https no endereço, que indica que os dados são transmitidos através de uma conexão criptografada.
Para Paulo, ele realmente estava acessando o Internet Banking da Caixa, porque o site falso é idêntico ao verdadeiro e o endereço que aparece no navegador dele é o da Caixa.
Com o modem comprometido utilizando os DNSs do criminoso e um dos sites alvo sendo o da Caixa Econômica Federal, Paulo executou um comando ping, no Prompt de comando do Windows, no endereço “internetbanking.caixa.gov.br”. Veja abaixo o resultado:
Observamos na imagem acima que na resposta do comando ping existe um
endereço do tipo “.clouduol.com.br”. Isso não parece estranho? Como que
ao executar um comando ping para o endereço
“internetbanking.caixa.gov.br” na resposta aparece um
“.clouduol.com.br”?
Isso mostra que ao acessar o endereço “internetbanking.caixa.gov.br”, Paulo estava sendo redirecionado para um outro endereço localizado dentro do “.clouduol.com.br” — diferente do endereço digitado no navegador.
Nos piores ataques, os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros.
Uma outra atitude foi então tomada: Paulo alterou as DNS da conexão do Windows para as DNS do Google (8.8.8.8 e 8.8.4.4) a fim de verificar se o problema era resolvido. Depois de configurar as novas DNS, Paulo então acessou o Internet Banking da Caixa Econômica Federal e constatou que estava no site verdadeiro.
Paulo decide acessar as configurações de seu modem e verificar as DNS que estavam configuradas:
Observamos na imagem acima que existem DNS “200.98…” setadas no
modem. Isso é uma prova de que o modem foi comprometido com falsas DNS.
Uma medida tomada por Paulo foi resetar o modem para a configuração de
fábrica.
Lembre-se: com os servidores DNS alterados no seu modem, todo o trafego de internet do seu computador que não estiver devidamente protegido por SSL (https e afins) pode ser monitorado.
Este tipo de ataque não é detectado e nem impedido por antivírus e firewall existentes no computador do internauta. Os criminosos alteram as configurações do DNS existentes no modem e com isso redirecionam os sites alvo, como bancos ou grandes portais.
Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.
O Ataque
Abaixo vamos relatar um caso real em que um modem ADSL foi comprometido e teve sua configuração de DNS alterada. Um dos sites redirecionados era o da Caixa Econômica Federal. Vamos dar o nome de Paulo para o usuário que teve seu modem invadido. (A Linha Defensiva observa que todos os grandes bancos foram alvo deste ataque, mas queremos apenas ilustrar o problema citando a Caixa.)Paulo, que teve o seu modem comprometido, acessa o Internet Banking do seu banco (Caixa Econômica Federal). Observem a página na imagem abaixo:
Site falso da Caixa em endereço legítimo. (Foto: Reprodução)
Observem agora a verdadeira página do Internet Banking da Caixa:
Site verdadeiro da Caixa, com SSL. (Foto: Reprodução)
Para Paulo, ele realmente estava acessando o Internet Banking da Caixa, porque o site falso é idêntico ao verdadeiro e o endereço que aparece no navegador dele é o da Caixa.
Com o modem comprometido utilizando os DNSs do criminoso e um dos sites alvo sendo o da Caixa Econômica Federal, Paulo executou um comando ping, no Prompt de comando do Windows, no endereço “internetbanking.caixa.gov.br”. Veja abaixo o resultado:
Resposta do comando ping dá pistas de redirecionamento. (Foto: Reprodução)
Isso mostra que ao acessar o endereço “internetbanking.caixa.gov.br”, Paulo estava sendo redirecionado para um outro endereço localizado dentro do “.clouduol.com.br” — diferente do endereço digitado no navegador.
Nos piores ataques, os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros.
Como saber se seu modem foi comprometido com as falsas DNS?
O internauta Paulo passou antivírus/antimalware em seu computador e nada foi encontrado.Uma outra atitude foi então tomada: Paulo alterou as DNS da conexão do Windows para as DNS do Google (8.8.8.8 e 8.8.4.4) a fim de verificar se o problema era resolvido. Depois de configurar as novas DNS, Paulo então acessou o Internet Banking da Caixa Econômica Federal e constatou que estava no site verdadeiro.
Paulo decide acessar as configurações de seu modem e verificar as DNS que estavam configuradas:
Detalhe da configuração de um modem comprometido. (Foto: Reprodução)
Lembre-se: com os servidores DNS alterados no seu modem, todo o trafego de internet do seu computador que não estiver devidamente protegido por SSL (https e afins) pode ser monitorado.
Como se proteger?
- Atualize o firmware do seu modem. Geralmente no site do fabricante você verá o download disponível gratuitamente, conforme o modelo. É necessário extremo cuidado para realizar esse procedimento, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.
- Outra possibilidade é usar o modem no modo Bridge, no entanto isto expõe o seu computador diretamente na internet, deixando-o um pouco mais vulnerável a certos ataques.
- Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).
- Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .
- Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.
- Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem.
Nenhum comentário:
Postar um comentário