Golpe alterava DNS de roteadores desatualizados para levar a site falso de banco

Uma campanha maliciosa alterou o servidor DNS de roteadores da D-Link, fazendo com que clientes do Banco do Brasil e do Itaú fossem redirecionados para sites falsos ao tentar acessar suas contas. Segundo o blog da companhia de segurança Radware, os dispositivos vulneráveis são os modelos DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B. Apenas modelos que […]

Uma campanha maliciosa alterou o servidor DNS de roteadores da D-Link, fazendo com que clientes do Banco do Brasil e do Itaú fossem redirecionados para sites falsos ao tentar acessar suas contas.

Segundo o blog da companhia de segurança Radware, os dispositivos vulneráveis são os modelos DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B. Apenas modelos que não foram atualizados há dois anos podiam ser explorados pela falha.

Como mudar o seu DNS deixa a sua internet mais rápida e segura

Usuários afetados que tentavam usar o internet banking do Banco do Brasil por HTTPS recebiam um aviso de que o certificado do site falso era auto-assinado. Se o usuário, no entanto, entrava por HTTP, não recebia nenhum comunicado. Vale destacar que o site real do BB não aceita acessos por HTTP, só por HTTPS.

O site falso emulava o acesso real ao banco, mas simulava uma confirmação de outras informações, como número de telefone, senha do cartão e senha de atendimento telefônico.

Site falso do Banco do Brasil; repare na barra de endereços que tem um endereço http. Crédito: Radware

Já acessos ao Itaú eram redirecionados a outra página hospedada no mesmo IP do site falso do BB e do servidor DNS malicioso. No entanto, não havia uma página falsa do banco — talvez simplesmente não tenha dado tempo dos criminosos colocarem o golpe no ar.

O servidor de hospedagem OVH, que abrigava o servidor DNS e as páginas falsas, já foi avisado pela Radware e derrubou o golpe na manhã da última sexta-feira.

A Radware ressalta que os bancos não foram diretamente atacados nem demonstraram brechas em sua segurança. No entanto, usuários que caíram na armadilha podem sofrer perdas financeiras ou de dados pessoais. Como o DNS foi derrubado, eles também podem ter ficado sem acessar qualquer site até que as configurações fossem alteradas pelo provedor ou manualmente.

A empresa recomenda checar as configurações de DNS dos seus equipamentos para evitar golpes desse tipo. Sites como o What’s My DNS Server? podem ajudar. Manter os equipamentos atualizados, ainda que o processo não seja lá muito amigável, também é essencial.

[Radware via Ars Technica e Tecnoblog]

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas