Início » Antivírus e Segurança » Você já viu se o DNS do seu roteador está certo hoje?

Você já viu se o DNS do seu roteador está certo hoje?

Scripts maliciosos em sites estão mudando os servidores de DNS de modems e roteadores sem que ninguém perceba

Paulo Higa Por

Escolher bons servidores de DNS é importante não apenas para deixar sua navegação mais rápida, mas também mais segura. Eles traduzem um endereço (tecnoblog.net) em IP (104.25.134.33). Se você estiver utilizando um servidor não confiável, pode acabar digitando uma senha ou mesmo dados bancários em uma página falsa. E scripts maliciosos escondidos em sites estão alterando o DNS de roteadores sem autorização.

Roteador Wi-Fi (Por Pixabay)

Eles funcionam assim: você acessa um site legítimo, começa a ler o conteúdo e, silenciosamente, seu navegador faz inúmeras requisições maliciosas para a página de administração do seu modem (como http://192.168.1.1). Se o usuário manteve a senha padrão da operadora (“admin”, “12345”, “root” e afins), como é muito comum, o script pode alterar os servidores de DNS sem que ninguém desconfie de nada.

Isso de fato aconteceu. Até a manhã desta quarta-feira (11), um site brasileiro de fofocas estava executando um script malicioso que tentava mudar as configurações do modem para dois servidores de DNS no Canadá. O Tecnoblog apurou que o script já foi removido da página, mas ficou no ar por pelo menos 20 horas. Entramos em contato com o veículo para solicitar um posicionamento, mas não obtivemos resposta.

Em análise feita a pedido do Tecnoblog, o pesquisador de segurança da Kaspersky, Fabio Assolini, nota que o script tem quatro passos: “Em cada um deles, o script vai tentar logar no roteador, usando credenciais conhecidas ou padrão, e assim mudando os servidores de DNS. Não se trata do primeiro [ataque], já ocorreram outras vezes”.

Um servidor de DNS malicioso pode servir para inúmeros fins, como gerar lucro para o criminoso com a exibição de anúncios de sistemas de afiliados, ou mesmo direcionar vítimas para sites falsos (de bancos, por exemplo) para roubar informações, caso do script em questão, segundo Assolini. Um sistema de estatísticas mostrou que, em horários de pico, a audiência do código malicioso ultrapassou 900 usuários simultâneos.

O grande problema é que, se você estiver com um servidor de DNS malicioso, todos os dispositivos conectados ao seu roteador podem estar vulneráveis, incluindo smartphones, tablets e notebooks. Além disso, como o ataque é direcionado à página de administração do roteador, não importa muito o sistema operacional ou navegador que você usa.

“Para não ser vítima do ataque, é importante não usar as senhas padrão dos roteadores e, sempre que possível, manter o firmware atualizado, já que o script, além da força bruta, tenta explorar falhas CSRF [Falsificação de solicitação entre sites] no painel do dispositivo para entrar e mudar o DNS”, recomenda Assolini.

Então já sabe: se eu fosse você, daria uma olhada agora mesmo na página de administração do meu roteador para ver se as configurações de DNS estão corretas.

Leia mais: Qual o melhor DNS do Brasil? Veja como testar

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

alex

Aconteceu comigo hoje. Entrei no site do BB e achei estranha a página. Quando fui ver no roteador tava com o seguinte DNS: 91.218.115.168. A página do BB era fake. Não tenho ideia do que possa ter acontecido, mas com certeza foi algo do tipo, pois notei que meu roteador estava com a senha padrão.

ochateador
Vixi... Então tem que forçar a barra para eles permitirem que a gente use um modem e/ou roteador próprio e com isso evitar essas atualizações/configurações remotas :(
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

Acho que não, Vivo e NET enviam updates de firmware pros roteadores remotamente, mudam configurações, as opções de acesso remoto estão desligadas, mas devem ter um canal especial pra isso

PPKX XD ?????????
Acho que não, Vivo e NET enviam updates de firmware pros roteadores remotamente, mudam configurações, as opções de acesso remoto estão desligadas, mas devem ter um canal especial pra isso
ochateador
Não teria como desabilitar esses updates ? Uma vez ganhei um roteador/modem tão lixo da vivo que perdi umas 2 semanas procurando o acesso admin/root dele. Quando descobri o acesso fiquei 2 madrugadas olhando opção por opção e desativando e/ou removendo várias coisas e com isso o modem/roteador ficou excelente (antes caia 1x por dia, depois caia 1x a cada 10 dias).
Caio Alexandre

NET já mudou isso há séculos, todos os modens vem com uma configuração diferente (geralmente "NET_<parte do="" mac="">") e senha Mac Address.

Humberto Machado

na minha humilde residencia, meu modem da net anda com o wifi desativado, openDNS , dai conecto na porta wan do meu Xiaomi Mi router 3... os visitantes recebem uma senha temporária e as maquinas "de casa" tem autenticação via MAC
Como minha sogra já é mais velha e usa muito TV aberta, perfil ideal pra qualquer site de aleatoriedade, seria um prato cheio pra esse tipo de invasão

Humberto Machado
na minha humilde residencia, meu modem da net anda com o wifi desativado, openDNS , dai conecto na porta wan do meu Xiaomi Mi router 3... os visitantes recebem uma senha temporária e as maquinas "de casa" tem autenticação via MAC Como minha sogra já é mais velha e usa muito TV aberta, perfil ideal pra qualquer site de aleatoriedade, seria um prato cheio pra esse tipo de invasão
Tiago Celestino
O que o site O Fuxico falou sobre esse caso?
Diego Rocha
Eu sei que pode falsificar o POST do form (ai o router teria que ter uma proteção contra CSRF) mas no print o js está fazendo GETs.
Lucas
Não sei se é o caso, mas acontece que pode ser por POST também. Se o método é POST, basta falsificar o formulário "da mudança" de DNS e reenvia-lo contando com a ausência da validação de autenticidade do lado servidor (no caso o roteador rs)
Guto Revoredo
Invade meu Mikrotik!
Isaias Freitas
Aconteceu comigo com um site.. ate fiz um post no forum do clubedogardware. http://www.clubedohardware.com.br/forums/topic/1256890-sites-maliciosos-infectando-roteadores/?tab=comments#comment-6899333
Capitão Guapo
Muito bizarro isso. O problema que o tipo de gente que deixa a senha do roteador com admin 12345 não costuma ler esse tipo de matéria.
vin
Vou procurar mais sobre isso. Obrigado! :)
Exibir mais comentários