Se você usa o internet banking no wi-fi, leia isto aqui antes que seja tarde

Golpe antigo, DNS Poisoning (envenenamento de DNS) ataca roteadores de internet e volta a fazer vítimas no Brasil. A maneira mais comum de roubar dados na internet – como senhas de banco e números de cartões de crédito – é o chamado “phishing”, prática que leva a vítima a sites falsos, que se passam pelos legítimos e capturam as informações. A operacionalização desse tipo de ataque se dá quase sempre por meio de aplicativos maliciosos instalados sorrateiramente nos dispositivos dos usuários e, por isso, as instruções de segurança que empresas, sites de notícias especializadas e outras fontes costumam oferecer são quase sempre focadas nessa modalidade do golpe. Mas há outras estratégias e uma delas (bastante silenciosa e, portanto, mais perigosa), que havia caído em desuso, voltou à tona: o “DNS poisoning”, que consiste no “envenenamento” de roteadores domésticos e públicos para que redirecionem o tráfego dos usuários para sites fraudulentos.

Como funciona o “DNS poisoning”

Para quem não tem algum conhecimento técnico talvez seja um pouco mais complicado entender essa história. Por isso vou fazer uma analogia para tentar ser mais claro. Veja bem:

Você mora em uma rua que é identificada no dia a dia por um nome qualquer (por exemplo: Rua dos Bandeirantes). Mas, para controle de correspondências, mapeamentos e outras funções, cada rua tem um CEP, uma sequência de números que obedece uma determinada lógica e define a localização da rua em um bairro e cidade. Na internet, as coisas funcionam de maneira parecida. Cada site está vinculado a um “CEP”, que nesse caso se chama DNS e também é uma sequência de números que identifica a localização de um site dentro da web. Quando digitamos, por exemplo, www.administradores.com.br , para que você consiga ver o conteúdo do portal, seu navegador vai fazer uma requisição, na verdade, ao DNS associado ao endereço da gente.

E onde entra o crime nessa história? Vamos lá. Quando você compra um roteador ou contrata um serviço de internet que já oferece um roteador junto do modem, a instalação geralmente é feita por um técnico responsável e o cliente não faz ideia do que está sendo feito. E o que acontece em muitos casos é esse profissional configurar o aparelho mantendo o padrão que veio de fábrica. E aí vem o primeiro problema: cada fabricante tem um endereço padrão para seu painel de ajuste (que é sempre online), bem como login e senha também padronizados para todos os seus dispositivos. Se você mantém seu roteador com esses dados padrão, qualquer um poderá acessar sua área de configuração.

Sabendo disso, os criminosos fazem ataques acessando as áreas de configuração no endereço de cada fabricante e testando as combinações de senha e login que costumam ser utilizadas por esses fabricantes, como admin/admin, por exemplo. Com acesso a essa área, eles alteram as configurações de DNS para que endereços legítimos exibam sites falsos. E é esse aspecto que torna esse tipo de ataque mais perigoso, porque o usuário digital o endereço certo, mas cai no canal errado (alterado através do DNS).

(Importante: quando falo aqui em login e senha, não me refiro à senha do wi-fi, mas aos dados de acesso ao painel de gerenciamento e configuração do roteador, que muita gente nem sabe que existe).

Por que esses ataques tinham parado e por que voltaram?

Em 2011, quando houve o primeiro boom nesse tipo de ataque, os fabricantes de roteadores e provedores de internet passaram a tomar mais cuidado e corrigir brechas. Mas o tempo passou, todo mundo relaxou e os criminosos aproveitaram.

Caso identificado

Nós aqui no Administradores tivemos acesso a um caso que exemplifica a volta desse tipo de ataque. Um usuário que tem em casa um roteador TP-Link notou dificuldades para acessar o aplicativo do Banco do Brasil pelo celular. Depois de um tempo, descobriu que o problema estava acontecendo com todas as pessoas que tentavam acessar esse banco em sua rede doméstica. Ao tentar acessar pelo computador, percebeu-se que o site do banco, embora digitado o endereço certo, estava exibindo uma página falsa. (Mas, se o endereço digitado estava certo, como identificaram que a página era falsa? Veja no fim do texto um passo a passo sobre como identificar se você está em um site falso).

O usuário fez uma varredura no computador e não identificou nenhum malware. E como o problema de acesso era apresentado em todos os dispositivos conectados à sua wi-fi, ele desconfiou de “DNS poisoning”. E acertou. Nesse caso específico, o alvo dos criminosos foram clientes que utilizam o TP-Link e acessam o Banco do Brasil. Foram feitos testes e não houve redirecionamento no acesso a outros bancos.

Solução

Ao identificar um ataque de “DNS poisoning” ao seu roteador, o caminho para resolver é relativamente simples:

– Atualize o firmware do seu roteador. Isso pode ser feito através do site do fabricante;

– Restaure as definições de fábrica (geralmente, se faz clicando em um botão embutido na parte traseira, com o auxílio de um palito ou agulha). Caso não saiba como fazer isso, acesse o site do fabricante e procure pelas instruções específicas da sua marca;

– Crie um login e senha individuais de acesso ao seu painel de configuração, combinando pelo menos letras e números, dificultando que sejam desvendados. Se você não sabe como acessar sua área de configuração, procure instruções no site do seu fabricante;

– Crie uma senha difícil também para sua rede wi-fi;

– Limpe o histórico/cache dos navegadores e aplicativos de seus dispositivos ao fim do processo;

Como identificar se estou num site falso?

– Veja se o endereço do site é precedido por httpS. Se não tiver o “S”, não acesse nem insira seus dados, porque todo site que exige que você faça login precisa tê-lo.

– Ao lado da barra de endereço do seu navegador, deve ser exibido um cadeado verde, indicando a navegação segura. Se isso não aparecer, também não acesse nem insira dados pessoais;

– Sites falsos geralmente são imagens estáticas, navegáveis apenas na área onde você deve inserir seus dados. Se você notar que o site completo não é navegável, também desconfie.