Mais uma onda de ataques à roteadores se espalha pela Internet. Desta vez um ataque mais direcionado, no caso direcionado ao Brasil.
Você que é cliente de Bancos como Banco do Brasil, Bradesco, Caixa Econômica, Santander, Banco Inter, Sicredi e outras empresas como Paypal, PagSeguro, Netflix, Gmail e Uber fique atento.
Não foram as empresas que tiveram sua segurança comprometida, elas continuam com seus funcionamentos intactos. O que este ataque faz é aproveitar uma brecha de segurança do seu roteador e redirecionar seu acesso a uma destas empresas para suas páginas falsas.
Já falei uma vez aqui sobre vírus em roteador, e este ataque é bem parecido com o que falei naquela ocasião.
Alguns roteadores podem ser atacados devido a uma falha de segurança em seus softwares, outros podem acontecer isto simplesmente por falta de configuração correta. Aí vai uma importância muito grande em contratar um profissional qualificado para a instalação do seu Roteador WiFi.
Neste caso em específico, o ataque “infiltra” alguns DNSs no roteador da vítima, mudando assim a definição de nomes dos computadores, tablets ou smartphones conectados à ele.
Sumário
Entendendo como funciona este ataque
Os Servidores DNS são responsáveis pela resolução de nomes quando você acessa a Internet.
Na internet tudo são números, ou seja o site que você acessa tem um número, o qual é seu endereço de IP.
Mas você não sabe este número, seria muito difícil gravar os números de todos os sites que você acessa. Então você digita o nome do domínio e ele vai perguntar ao seu Servidor DNS qual o número dele, para assim você ter acesso ao site.
Os Servidores DNS normalmente são fornecidos pela sua operadora de banda larga e são preenchidos automaticamente no seu roteador e no seu computador (aqui leia-se computador, tablet, notebook, smartphone, ou qualquer outro dispositivo que esteja conectado à Internet).
Quando o ataque acontece, este número de DNS é substituído pelo DNS do cybercriminoso, mudando então seu destino do acesso.
Normalmente eles fazem “páginas clonadas” de algumas empresas, para você colocar seu usuário e senha (no caso de acessos de login) ou agência, conta e senha (no caso de bancos).
Como estas páginas são uma espécie de “chupa cabra virtual” (chupa cabra é o nome dos dispositivos que clonam cartões em caixas de bancos) elas capturam suas informações e enviam diretamente para os criminosos.
Neste momento você poderá ter toda sua segurança comprometida!
Como identificar e remover este problema?
Neste caso em específico temos os principais Servidores DNS utilizados para o crime. Daqui algum tempo, poderão não ser estes, mas este artigo te ajudará a entender e resolver este problema.
As alterações encontradas nos roteadores foram os Servidores DNS:
195.128.124.150
195.128.124.181
195.128.124.131
195.128.124.165
Todos estes Servidores DNS acima são falsos, enviam seu tráfego totalmente para os criminosos.
Para localizar em seu roteador, você pode acessar a configuração dele através de seu endereço do gateway do seu computador.
Em clientes residenciais normalmente o endereço do roteador é 192.168.1.1 ou 192.168.0.1
Mas se você não sabe seu endereço do roteador, pode descobrir facilmente acessando o Prompt de Comando digitando este comando na Busca do Windows ou no Menu Iniciar (Ou Executar cmd.exe)
Ao entrar na tela preta do Prompt de Comando, você digita o comando
ipconfig /all
E terá uma resposta com alguns dados que nos interessam.
Servidor DNS Primário
Servidor DNS Secundário
Gateway
Estes dois primeiros Servidores DNS normalmente estarão ou em branco ou com o mesmo endereço do gateway
Neste caso, o DNS do seu computador está apontando para o próprio roteador, e o DNS do roteador será o responsável pela resolução de nomes.
Em todos estes números você tem que ficar atento aos mencionados lá atrás, os Servidores DNS responsáveis pelos ataques.
Mas agora você já tem o endereço do Gateway, que é seu roteador, e deverá acessá-lo pelo seu navegador de preferência.
Digite o endereço e aperte [Enter] no navegador (Google Chrome por exemplo)
Nesta tela você tem que colocar o login/senha
Na maioria dos fabricantes, o usuário padrão é admin e a senha admin, mas temos algumas variações que você pode tentar admin/(em branco) ou (em branco)/admin mas não vou entrar muito nesta questão da senha pois você deve ter a sua.
Aqui todas as telas variam de acordo com o modelo e a marca do aparelho. No meu caso é um TP-Link TL-WR940ND mas em outros modelos é tudo bem parecido.
Acesse a área de Network > WAN
Esta tela acima é como deve estar sua configuração na parte de DNS (a parte da WAN Connection) depende de operadora.
Os endereços de DNS deverão estar automáticos – Note que o campo “Use these DNS Servers” não está marcado, portanto ele irá usar os DNS providos pela operadora.
Agora outro ponto a se verificar, o DHCP. Ele é responsável por gerar Endereços IPs para os dispositivos que irão se conectar à ele.
Acesse DHCP > DHCP Settings
Da mesma forma, de acordo com o IP do seu roteador, ele deverá seguir o mesmo padrão.
O ponto aqui que interessa é o Default Gateway que deverá ser (via de regra) o mesmo endereço do seu roteador (neste caso o 192.168.1.1) e os Primary DNS e Secondary DNS em branco ou com 0.0.0.0
Isto significa mais uma vez que eles utilizarão o DNS da sua operadora.
ATENÇÃO: Estas fotos que coloquei acima são como deverão estar no seu roteador, em especial nas partes de configurações de DNS.
Uma verificação direta no Computador
É sempre bom checar também a configuração do seu computador. Você pode entrar nas configurações de rede para verificar se está tudo ok.
Acesse Painel de Controle > Central de Rede e Compartilhamento > Alterar Configurações do adaptador
Agora clique com o botão direito na sua conexão de rede que está ativa e vá em Propriedades
Clique duas vezes em Protocolo TCP/IP
Isto demonstra que o DNS utilizado será fornecido pelo roteador, e como já verificamos o roteador, tudo está OK.
Maneiras de evitar este (e outros) ataques
- Atualize sempre o firmware do seu roteador
- Tenha senha no painel de acesso (admin) e coloque uma senha forte para ter maior segurança
- Verifique sempre se o certificado de segurança do site que estiver acessando está ativo.
- Utilize sempre um bom antivírus.
Um abraço a todos.
1 comentário em “Ataque a roteadores pode comprometer sua segurança em bancos e apps”