A fabricante de antivírus Avast publicou um alerta sobre dois ataques
que adulteram as configurações de roteadores de internet no Brasil. A
modificação — feita em pelo menos 180 mil equipamentos só no primeiro
semestre de 2019 — desvia os acessos a determinados sites para páginas
clonadas, que remetem qualquer senha digitada aos hackers.
O redirecionamento muda o destino de serviços bancários e peças
publicitárias, além de enviar um código de mineração de criptomoeda ao
navegador da vítima.
Os alvos do ataque são roteadores domésticos, como os cedidos por
operadoras e provedores de internet ou adquiridos por conta própria no
mercado para acesso à rede (veja lista de modelos abaixo). Os códigos
desenvolvidos pelos hackers são colocados em sites falsos e abusam do
funcionamento simplificado e das senhas de fábrica desses equipamentos
para substituir a configuração automática transmitida pelo provedor.
Para se proteger, a principal medida é a troca da senha que vem
configurada de fábrica do equipamento. Se o aparelho estiver configurado
com uma senha diferente da original, o código não é capaz de prosseguir
com a adulteração.
Um dos ataques em atividade, chamado de "GhostDNS" ou "Novidade", já era
conhecido. O outro, denominado "SonarDNS", é considerado novo. Segundo a
Avast, os produtos da empresa detectaram 180 mil roteadores adulterados
e bloquearam milhões de tentativas de ataque.
Os criminosos inserem os códigos em páginas falsas. Quando a página é
visitada, o código tenta realizar a mudança na configuração por meio do
próprio navegador, o que pode ocorrer de maneira silenciosa ou com um
aviso falso na tela sobre uma "atualização do leitor de vídeo". Nenhum
programa é baixado para o computador para realizar esse ataque: tudo
acontece pela rede e pelo "envenenamento" do roteador.
Enquanto código tenta atacar o roteador, usuário vê mensagem para aguardar uma suposta 'atualização de leitor de vídeo'.
Se a modificação no roteador for realizada com sucesso, a navegação na
internet passará a depender de um serviço de DNS (Domain Name System)
operado pelos criminosos. O DNS é o "102" da internet, responsável por
descobrir os números (endereços IP) relacionados a nomes, como
"g1.com.br". O DNS usado no acesso à internet é normalmente fornecido
pelo provedor contratado.
Obtendo o controle do DNS da vítima, os hackers podem oferecer endereços
IP falsos para os endereços consultados, levando o usuário a uma página
clonada criada pelos próprios criminosos em vez do destino correto.
Três em um
Os golpistas redirecionam os acessos para três finalidades: roubo de
senhas, desvio de anúncios publicitários e inserção de código de
mineração de criptomoedas.
O roubo de senhas acontece quando a vítima digita a senha na página
clonada, entregando os dados para os criminosos. O desvio de anúncios
substitui peças publicitárias exibidas na internet, o que pode render
dinheiro para os hackers.
Por fim, os códigos de mineração de criptomoedas fazem o computador da
vítima trabalhar para conseguir essas moedas digitais, consumindo mais
energia elétrica e prejudicando a bateria de notebooks e celulares. Os
golpistas também ganham dinheiro com isso, já que a participação no
processo de mineração de criptomoedas dá direito a parte dos lucros
obtidos com a venda dessas moedas.
Dessa forma, um único ataque permite que o criminoso obtenha vantagem de
três maneiras diferentes. Mesmo que alguém não acesse serviços
bancários para ser vítima do roubo de senha, o hacker ainda pode faturar
com as outras duas atividades.
Equipamentos atacados
Segundo a Avast, os modelos de roteadores abaixo estão entre os atacados:
TP-Link TL-WR340G / WR1043ND
D-Link DSL-2740R / DIR 905L
A-Link WL54AP3 / WL54AP2
Medialink MWN-WAPR300
Motorola SBG6580
Realtron
GWR-120
Secutech RiS-11 / RiS-22 / RiS-33
As seguintes combinações de usuário e senha são programadas no código:
usuário "admin", senhas "admin", "12345", "123456", "gvt12345",
"vivo12345"; usuário "root", senha "root" e usuário "super", senha
"super". Todas essas são senhas de fábrica ou configuradas pela
operadora e, portanto, devem ser trocadas pelo consumidor.
Os passos para trocar a senha variam de equipamento para equipamento.
Recomenda-se consultar o manual do produto ou o suporte técnico do
provedor para receber orientações. Em alguns casos, pode ser necessário
realizar um "reset" (um botão especial no equipamento que restaura os
ajustes de fábrica) para garantir que nenhuma adulteração dos hackers
tenha permanecido no equipamento.
A Avast também aconselha atualizar o "firmware" (software embarcado) do
roteador para a versão mais recente. Esse procedimento também varia
dependendo do modelo. Diferente de atualizações para aplicativos no
celular ou no computador, essas atualizações normalmente não são
baixadas e instaladas de maneira automática. É preciso baixar o arquivo
específico do modelo no site do fabricante e seguir à risca as
instruções de atualização.
Em caso de dúvida, a versão gratuita do antivírus Avast inclui um
recurso chamado "Wi-Fi Inspector" que verifica se o roteador foi
adulterado.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com. G1
Comentários
Postar um comentário