Atualize seu roteador e evite cair em sites de phishing

2 maio 2019

A ameaça atual mais comum continua a mesma: o phishing, mas com uma nova versão que usa o roteador e não precisa que você caia em algum golpe enviado por e-mail. Na verdade, as regras de segurança mais comuns (evitar redes WiFi públicas, colocar o cursor sobre os links antes de clicar e assim por diante) não ajudarão nessa situação. Em seguida, vamos dar uma olhada nas diferentes estratégias de phishing relacionadas ao sequestro de roteadores.

O sequestro dos roteadores

De maneira geral, um roteador pode ser hackeado de duas maneiras. A primeira aproveita o uso de credenciais predefinidas. Como você já sabe, cada roteador tem uma senha de administrador -não aquela usada para acessar o WiFi, mas uma para login no painel de gerenciamento e alterar as configurações.

Os usuários podem alterar essa senha, mas a maioria prefere manter a padrão, a opção mais simples para cibercriminosos descobrirem ou mesmo acharem por meio de uma breve busca no Google.

A segunda estratégia é explorar uma vulnerabilidade no firmware do roteador (bastante comum) e permite ao hacker assumir o controle do dispositivo sem a necessidade de senha.

De um jeito ou de outro, os cibercriminosos podem executar este tipo de trabalho de forma remota, automática e em massa. Ao sequestrar os roteadores, conseguem obter uma série de privilégios, mas nesta publicação, vamos nos concentrar nas dificuldades de detecção do phishing.

Como roteadores podem ser explorados para phishing

Após o sequestro, os golpistas modificam suas configurações, mas é uma muito pequena e imperceptível. Eles alteram apenas os endereços dos servidores DNS usados ​​pelo roteador para decifrar os nomes dos domínios. Mas o que tudo isso significa? Por que isso é tão perigoso?

O DNS (sigla para Domain Name System) é o pilar da Internet. Quando você digita o endereço de um site na barra de endereço do navegador, ele não sabe realmente como encontrá-lo, porque os browsers e servidores web usam endereços de IP numéricos, não os nomes dos domínios usados pelos usuários. Portanto, o processo é o seguinte:

  1. O navegador envia uma solicitação ao servidor DNS.
  2. O servidor DNS traduz o endereço do site do formato conhecido pelo usuário para o endereço de IP numérico e o comunica ao navegador.
  3. Agora o navegador já sabe onde encontrar o site e carrega a página.

Tudo acontece muito rápido. Mas quando sequestram seu roteador e alteram os endereços dos servidores DNS, todas as solicitações vão diretamente para o servidor DNS controlado pelos invasores. Em vez de retornar o endereço de IP do site que deseja acessar, o servidor malicioso redireciona o tráfego online para um site com IP falso. Ou seja, desta vez os cibercriminosos não o ludibriam diretamente, mas sim seu navegador, que faz o upload de um site de phishing e não daquele que você esperava. O mais preocupante é que usuário e browser “acreditam” estarem em uma página legítima.

O caso brasileiro de uma campanha de phishing que sequestrou roteadores

Na mais recente onda de ataques deste tipo, cibercriminosos têm explorado falhas de segurança dos roteadores D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech e TOTOLINK para comprometer esses dispositivos e modificar as configurações de DNS. Portanto, cada vez que os donos dos roteadores sequestrados tentam acessar suas contas bancárias ou sites de serviço, o servidor DNS sob o controle dos sequestradores redireciona o tráfego online para sites de phishing criados para roubar credenciais.

Esta campanha foi direcionada principalmente aos usuários brasileiros, recriando sites de instituições financeiras, bancos, provedores de hospedagem e serviços de nuvem estabelecidos no Brasil.

Os responsáveis pela campanha também atacaram usuários de alguns dos serviços mais importantes da internet, como PayPal, Netflix, Uber e Gmail.

Como se proteger desse tipo de golpe de phishing

Como já mencionamos, esse tipo de ataque de phishing é praticamente indetectável. No entanto, você não precisa perder as esperanças se seguir estas dicas:

  1. Faça login na interface web de gerenciamento do roteador, altere as senhas padrão e desative a administração remota e outras configurações perigosas.
  2. Atualizações geralmente resolvem vulnerabilidades, então tente manter o firmware do roteador atualizado. Algumas são feitas automaticamente, mas em outros casos, a instalação deve ser manual. Pesquise online as informações do provedor do roteador para verificar o funcionamento do sistema de atualização.
  3. Quando você for acessar um site familiar, fique atento a detalhes incomuns e a pop-ups inesperados. Tente clicar em várias seções do site; mesmo se o layout da página de phishing for altamente profissional, é quase impossível para os golpistas recriarem um site inteiro de forma perfeita e fidedigna.
  4. Antes de digitar suas credenciais (ou quaisquer dados confidenciais), verifique se as conexões são seguras (analise se o início da URL é “https://”) e sempre confira se o nome no certificado corresponde ao nome da entidade. Para isso, clique no sinal de bloqueio na barra de endereço do navegador:
  • No Internet Explorer ou Edge, você verá os detalhes do certificado que você precisa imediatamente.
  • No Mozilla, você terá que clicar em Conexão.
  • No Chrome, clique no cadeado, depois em Certificado, depois em Geral e confira a informação Emitido para.