{"id":11758,"date":"2019-05-02T15:54:25","date_gmt":"2019-05-02T18:54:25","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11758"},"modified":"2019-11-22T07:05:03","modified_gmt":"2019-11-22T10:05:03","slug":"hacked-routers-dns-hijacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hacked-routers-dns-hijacking\/11758\/","title":{"rendered":"Atualize seu roteador e evite cair em sites de phishing"},"content":{"rendered":"<p>A amea\u00e7a atual mais comum continua a mesma: o <a href=\"https:\/\/securelist.lat\/spam-and-phishing-in-2018\/88487\/\" target=\"_blank\" rel=\"noopener\">phishing<\/a>, mas com uma nova vers\u00e3o que usa o roteador e n\u00e3o precisa que voc\u00ea caia em algum golpe enviado por e-mail. Na verdade, as <a href=\"https:\/\/www.kaspersky.com.br\/blog\/phishing-ten-tips\/5819\/\" target=\"_blank\" rel=\"noopener\">regras de seguran\u00e7a mais comuns<\/a> (evitar redes WiFi p\u00fablicas, colocar o cursor sobre os links antes de clicar e assim por diante) n\u00e3o ajudar\u00e3o nessa situa\u00e7\u00e3o. Em seguida, vamos dar uma olhada nas diferentes estrat\u00e9gias de phishing relacionadas ao sequestro de roteadores.<\/p>\n<h3><strong>O sequestro dos roteadores<\/strong><\/h3>\n<p>De maneira geral, um roteador pode ser hackeado de duas maneiras. A primeira aproveita o uso de credenciais predefinidas. Como voc\u00ea j\u00e1 sabe, cada roteador tem uma senha de administrador -n\u00e3o aquela usada para acessar o WiFi, mas uma para login no painel de gerenciamento e alterar as configura\u00e7\u00f5es.<\/p>\n<p>Os usu\u00e1rios podem alterar essa senha, mas a maioria prefere manter a padr\u00e3o, a op\u00e7\u00e3o mais simples para cibercriminosos descobrirem ou mesmo acharem por meio de uma breve busca no Google.<\/p>\n<p>A segunda estrat\u00e9gia \u00e9 explorar uma vulnerabilidade no firmware do roteador (bastante comum) e permite ao hacker assumir o controle do dispositivo sem a necessidade de senha.<\/p>\n<p>De um jeito ou de outro, os cibercriminosos podem executar este tipo de trabalho de forma remota, autom\u00e1tica e em massa. Ao sequestrar os roteadores, conseguem obter uma s\u00e9rie de privil\u00e9gios, mas nesta publica\u00e7\u00e3o, vamos nos concentrar nas dificuldades de detec\u00e7\u00e3o do <em>phishing<\/em>.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"b2cpromo\"><\/p>\n<h3><strong>Como roteadores podem ser explorados para <em>phishing<\/em><\/strong><\/h3>\n<p>Ap\u00f3s o sequestro, os golpistas modificam suas configura\u00e7\u00f5es, mas \u00e9 uma muito pequena e impercept\u00edvel. Eles alteram apenas os endere\u00e7os dos servidores DNS usados \u200b\u200bpelo roteador para decifrar os nomes dos dom\u00ednios. Mas o que tudo isso significa? Por que isso \u00e9 t\u00e3o perigoso?<\/p>\n<p>O DNS (sigla para Domain Name System) \u00e9 o pilar da Internet. Quando voc\u00ea digita o endere\u00e7o de um site na barra de endere\u00e7o do navegador, ele n\u00e3o sabe realmente como encontr\u00e1-lo, porque os browsers e servidores web usam endere\u00e7os de IP num\u00e9ricos, n\u00e3o os nomes dos dom\u00ednios usados pelos usu\u00e1rios. Portanto, o processo \u00e9 o seguinte:<\/p>\n<ol>\n<li>O navegador envia uma solicita\u00e7\u00e3o ao servidor DNS.<\/li>\n<li>O servidor DNS traduz o endere\u00e7o do site do formato conhecido pelo usu\u00e1rio para o endere\u00e7o de IP num\u00e9rico e o comunica ao navegador.<\/li>\n<li>Agora o navegador j\u00e1 sabe onde encontrar o site e carrega a p\u00e1gina.<\/li>\n<\/ol>\n<p>Tudo acontece muito r\u00e1pido. Mas quando sequestram seu roteador e alteram os endere\u00e7os dos servidores DNS, todas as solicita\u00e7\u00f5es v\u00e3o diretamente para o servidor DNS controlado pelos invasores. Em vez de retornar o endere\u00e7o de IP do site que deseja acessar, o servidor malicioso redireciona o tr\u00e1fego online para um site com IP falso. Ou seja, desta vez os cibercriminosos n\u00e3o o ludibriam diretamente, mas sim seu navegador, que faz o upload de um site de phishing e n\u00e3o daquele que voc\u00ea esperava. O mais preocupante \u00e9 que usu\u00e1rio e browser \u201cacreditam\u201d estarem em uma p\u00e1gina leg\u00edtima.<\/p>\n<h3><strong>O caso brasileiro de uma campanha de <em>phishing<\/em> que sequestrou roteadores<\/strong><\/h3>\n<p>Na mais <a href=\"https:\/\/www.ixiacom.com\/company\/blog\/paypal-netflix-gmail-and-uber-users-among-targets-new-wave-dns-hijacking-attacks\" target=\"_blank\" rel=\"noopener nofollow\">recente onda de ataques deste tipo,<\/a> cibercriminosos t\u00eam explorado falhas de seguran\u00e7a dos roteadores D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech e TOTOLINK para comprometer esses dispositivos e modificar as configura\u00e7\u00f5es de DNS. Portanto, cada vez que os donos dos roteadores sequestrados tentam acessar suas contas banc\u00e1rias ou sites de servi\u00e7o, o servidor DNS sob o controle dos sequestradores redireciona o tr\u00e1fego online para sites de <em>phishing<\/em> criados para roubar credenciais.<\/p>\n<p>Esta campanha foi direcionada principalmente aos usu\u00e1rios brasileiros, recriando sites de institui\u00e7\u00f5es financeiras, bancos, provedores de hospedagem e servi\u00e7os de nuvem estabelecidos no Brasil.<\/p>\n<p>Os respons\u00e1veis pela campanha tamb\u00e9m atacaram usu\u00e1rios de alguns dos servi\u00e7os mais importantes da internet, como PayPal, Netflix, Uber e Gmail.<\/p>\n<h3><strong>Como se proteger desse tipo de golpe de <em>phishing<\/em><\/strong><\/h3>\n<p>Como j\u00e1 mencionamos, esse tipo de ataque de phishing \u00e9 praticamente indetect\u00e1vel. No entanto, voc\u00ea n\u00e3o precisa perder as esperan\u00e7as se seguir estas dicas:<\/p>\n<ol>\n<li>Fa\u00e7a login na interface web de gerenciamento do roteador, altere as senhas padr\u00e3o e desative a administra\u00e7\u00e3o remota e <a href=\"https:\/\/www.kaspersky.com.br\/blog\/secure-home-wifi\/6750\/\" target=\"_blank\" rel=\"noopener\">outras configura\u00e7\u00f5es perigosas<\/a>.<\/li>\n<li>Atualiza\u00e7\u00f5es geralmente resolvem vulnerabilidades, ent\u00e3o tente manter o firmware do roteador atualizado. Algumas s\u00e3o feitas automaticamente, mas em outros casos, a instala\u00e7\u00e3o deve ser manual. Pesquise online as informa\u00e7\u00f5es do provedor do roteador para verificar o funcionamento do sistema de atualiza\u00e7\u00e3o.<\/li>\n<li>Quando voc\u00ea for acessar um site familiar, fique atento a detalhes incomuns e a pop-ups inesperados. Tente clicar em v\u00e1rias se\u00e7\u00f5es do site; mesmo se o layout da p\u00e1gina de phishing for altamente profissional, \u00e9 quase imposs\u00edvel para os golpistas recriarem um site inteiro de forma perfeita e fidedigna.<\/li>\n<li>Antes de digitar suas credenciais (ou quaisquer dados confidenciais), verifique se as conex\u00f5es s\u00e3o seguras (analise se o in\u00edcio da URL \u00e9 \u201chttps:\/\/\u201d) e sempre confira se o nome no certificado corresponde ao nome da entidade. Para isso, clique no sinal de bloqueio na barra de endere\u00e7o do navegador:<\/li>\n<\/ol>\n<ul>\n<li>No Internet Explorer ou Edge, voc\u00ea ver\u00e1 os detalhes do certificado que voc\u00ea precisa imediatamente.<\/li>\n<li>No Mozilla, voc\u00ea ter\u00e1 que clicar em <em>Conex\u00e3o<\/em>.<\/li>\n<li>No Chrome, clique no cadeado, depois em <em>Certificado<\/em>, depois em <em>Geral<\/em> e confira a informa\u00e7\u00e3o <em>Emitido para<\/em>.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-cyberattacks\">\n","protected":false},"excerpt":{"rendered":"<p>Cibercriminosos hackeiam roteadores dom\u00e9sticos, alteram as configura\u00e7\u00f5es de ajustes e redirecionam o tr\u00e1fego online para sites de phishing para roubar as credenciais de acesso de servi\u00e7os e internet banking.<\/p>\n","protected":false},"author":2508,"featured_media":11759,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[218,91,221,821,102,1529,617],"class_list":{"0":"post-11758","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-ameacas","10":"tag-internet-banking","11":"tag-phishing","12":"tag-roteadores","13":"tag-senhas","14":"tag-sequestro-de-dns","15":"tag-wifi"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hacked-routers-dns-hijacking\/11758\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hacked-routers-dns-hijacking\/15685\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/13221\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/17599\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hacked-routers-dns-hijacking\/15745\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/14424\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hacked-routers-dns-hijacking\/18340\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hacked-routers-dns-hijacking\/17220\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hacked-routers-dns-hijacking\/22671\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hacked-routers-dns-hijacking\/5942\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hacked-routers-dns-hijacking\/26802\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hacked-routers-dns-hijacking\/12082\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hacked-routers-dns-hijacking\/10657\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hacked-routers-dns-hijacking\/19078\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hacked-routers-dns-hijacking\/23100\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hacked-routers-dns-hijacking\/18323\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hacked-routers-dns-hijacking\/22526\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hacked-routers-dns-hijacking\/22463\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11758","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2508"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=11758"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11758\/revisions"}],"predecessor-version":[{"id":12715,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11758\/revisions\/12715"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11759"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=11758"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=11758"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=11758"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}