Início » Antivírus e Segurança » Roteadores da D-Link têm falha que levava a site falso do Banco do Brasil

Roteadores da D-Link têm falha que levava a site falso do Banco do Brasil

Falha está presente em roteadores que não foram atualizados nos últimos dois anos

Felipe Ventura Por

Alguns donos de roteadores da D-Link foram levados a um site falso do Banco do Brasil devido a uma falha de segurança. Isso também afetou quem tentava acessar o Itaú: hackers conseguiam redirecionar o usuário com um servidor DNS malicioso. É o que descobriu a empresa de segurança Radware.

Os modelos D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-2730B e DSL-526B são afetados, assim como o Shuttle Tech ADSL Modem-Router 915 WM. A falha está presente apenas nos roteadores que não foram atualizados nos últimos dois anos – algo mais comum do que deveria ser.

Roteador D-Link DSL-2640B

Como funcionou o ataque aos roteadores

A Radware descobriu que hackers conseguem mudar, de forma remota, as configurações do roteador para que ele use um servidor DNS malicioso. Ao tentar visitar bb.com.br, o usuário era levado a um site clonado e falso.

O navegador web avisa que “sua conexão não é privada” apenas se o usuário acessar o endereço com HTTPS. Caso utilize o endereço com HTTP (guardado em um favorito, por exemplo), ele é redirecionado sem qualquer alerta para o site falso.

Site falso do Banco do Brasil (o endereço da imagem não funciona mais)

O usuário também era redirecionado caso tentasse acessar itau.com.br. Mas, neste caso, ele não era levado para um site clonado, e sim para um “placeholder”. E quanto a outros endereços na web? Aqui, o DNS malicioso apenas redirecionava para o site correto.

Operação focada no Brasil

A Radware conseguiu detectar 500 tentativas de alterar o servidor DNS em roteadores D-Link desprotegidos. Estes “honeypots” servem especificamente para atrair invasores e estudar seu comportamento.

E os pesquisadores notaram algo curioso: só os honeypots de São Paulo sofreram tentativas de ataque, enquanto os roteadores em outros países saíram ilesos. Dessa forma, o hacker chamava menos atenção fora do Brasil, e tinha menos chances de ser descoberto. O teste foi realizado entre 8 de junho e 10 de agosto.

O site clonado do Banco do Brasil tinha campos para inserir agência, conta e senha de oito dígitos. Então, o usuário era levado a outra tela para inserir o celular, senha do cartão e senha do atendimento telefônico (CABB).

Havia um aviso discreto “Não seguro” na barra de endereço, no caso do Chrome. O Google pretende mudar isso: a partir da versão 70, a ser lançada em outubro, esse aviso será vermelho e mais chamativo para sites com HTTP.

Servidor DNS malicioso é retirado do ar

Segundo o Ars Technica, essa operação foi encerrada na manhã desta sexta-feira (10). Pascal Geenens, pesquisador da Radware, avisou à operadora OVH que ela estava hospedando um servidor DNS malicioso e o site falso do BB.

Usuários afetados terão que alterar as configurações de DNS manualmente, ou não conseguirão acessar a internet – afinal, o servidor malicioso que convertia URLs em endereços IP foi desligado. Recomendamos usar o 8.8.8.8 do Google, ou o 1.1.1.1 da Cloudflare.

Este ano, descobriu-se que quase 5 mil roteadores da Datacom, usados pela Oi, estavam expostos na internet sem senha. E, recentemente, mais de 200 mil roteadores da MikroTik foram infectados por um minerador de criptomoeda, afetando usuários brasileiros.

Com informações: Radware, Ars Technica.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

ochateador

pfff.....
Tinha um roteador cisco instalado pela telefonica em minha empresa. Pelo que o técnico puxou no histórico de atendimento, o roteador foi instalado no ano 2000 e estava com a versão de firmware original de fábrica (no site da fabricante teve outras versões).

Jimi Artur Strobelt

Mantenho o DNS fixo no meu dispositivos ligados a rede a nível domestico assim o que acontece no servidor dns e dhcp do roteador não afetará, ao menos desta forma. Outro modo é ter um modem e um roteador separados sendo o roteador com DNS fixo, isso rediz o risco. Dispositivos Windows estão sujeitos ao mesmo problema se usados para acessar sites com códigos maliciosos, caso de sites pornos construídos para esse fim. Um código no site altera o registro e direciona o DNS de forma fixa para um serviço com a intensão de enganar o usuário. Nos tempo da internet discada já acontecia isso, direcionando a ligação discada para um serviço de interesse do criminoso. A nível corporativo não há desculpa. E obrigação do TI manter as dispositivos atualizados, salvo ocorrências desconhecidas e ainda não documentadas.

O que dói é em um site sobre tecnologia utilizar o termo HACKER para definir um criminoso da era digital. OS HACKER nada tem haver com os crimes, são NERDs, experts em tecnologia. OS CRACKERS (nada tem haver com craqueiro), são criminosos cibernéticos que usam esse conhecimento, ou a falta dele através de ferramentas de terceiros, para cometer crimes usando a rede.

Marcus Araújo

Bom, tomara que estejam atualizando os roteadores corporativos, né? Eles recebem um suporte melhor dos fabricantes, obviamente, só que a gente não sabe até que ponto as organizações dão suporte e manutenção nos seus itens de rede. Não vimos recentemente roteadores MikroTik sendo atacados, populares em empresas que prestam serviço de Internet a rádio? E foram alvos justamente pela obsolência do software.

Pelo menos até onde trabalhei, o negócio é feito para nunca mais mexer até que um pepino apareça. E olha que se trata de organização enorme que lida com dados sensíveis.

Marcus Araújo

Sim, o ponto é a negligência de um item que todo mundo possui. Câmeras IP e outros itens também são perigosos, obviamente, mas em menor escala, se a gente for comparar quantos roteadores temos online no Brasil x Câmeras IP etc. E se dar conta disso é preocupante demais...

Trovalds

Qualquer hardware que se conecte à internet é um potencial candidato a ser alvo de exploração de brechas. Vide o recente caso das câmeras IP que formavam uma botnet monstra.

Trovalds

Esse era um bug dos processadores da broadcom que equipavam várias marcas de roteadores. Os D-Link foram os mais afetados porque o chip equipava o modem ADSL DSL-500B, que era extremamente popular. Eu trabalho com suporte de TI e na época tive que sair às pressas instalando firmware atualizado nos modems pros clientes não caírem em golpes. Infelizmente teve um ou outro que não se salvaram e tiveram prejuízos.

André Lucato

Essa faixa de preço é de roteador corporativo. Nem esses são mantidos até mais tarde?

Marcus Araújo

Não necessariamente, mas é preciso certa atenção e conhecimento por parte do usuário. Alguns modelos mais caros possuem updates automáticos, verdade, mas até quando serão realmente atualizados? É o tipo de recurso que não vai adiantar muito se vão abandonar o produto com 2/3 anos de lançamento (e considerando que um roteador bom pode entregar tempo de vida útil muito maior que isso).

Porém, não estou vendo o mercado se mover para resolver essa questão. Pelo contrário, tivemos retrocessos como da TP-Link nos últimos anos, imitando a pior prática da rival.

André Lucato

O jeito é comprar um roteador de $ 5mil pra ficar mais ou menos...

André Lucato

Aconteceu comigo há mais de 3 anos isso. Mas o site era muito estranho. Pediu o numero do cartão e ja percebi. Comecei a colocar dados falsos para ver até onde iria. Depois que pediu ate senha alfanumerica chegou num beco sem saída.
Resetei para o padrão de fábrica e uma semana depois já troquei por um TP-Link mais novo.
Estou com o tp-link até hoje e o firmware está sem atualização desde 2015, ou seja: tudo a mesma porcaria.

Alexandre Roberto

compra roteador e invadem o mesmo e te redirecionam....
se encara um vpn, do outro lado tem um pastel de flango snifando seus dados....
se vai na agencia fisica, te assaltam....
se saca no caixa eletronico tem chupa-cabra clonando seu cartao.....

Marcus Araújo

E eles instalam? Já "cansei de levar a palavra" do OpenWrt/LEDE para gente dita esclarecida... 🤔

Pessoal não está nem aí, desde que funcione o esperado.

Aliás, meu conselho é que já comprem um modelo compatível com o OpenWrt e troque assim que tiver tempo. É mais seguro do que depender de fabricante. Mas, a depender do modelo, se perde umas "firulas" como controle do dispositivo por app no smartphone etc (digo "firula" porque algumas funções às vezes são até úteis mesmo)...

grande_dino_2

Pelo menos os nerds com D-Link ou TP-Link tem grandes chances de possuírem um modelo que suporta pelo menos o OpenWRT, se livrando de precisar esperar a boa vontade das empresas pra atualizar.

Marcus Araújo

"A falha está presente apenas nos roteadores que não foram atualizados nos últimos dois anos – algo mais comum do que deveria ser."

🤷‍♂️

A própria D-Link se encarrega de lançar uns roteadores baratos e abandoná-los sem uma atualização sequer... Aí lançam o mesmo modelo, porém com outra revisão de hardware, e este sim está atualizado por conta de sua data de lançamento, porém tenderá a morrer sem atualizações também. Por ser uma revisão de hardware, o firmware de um não funciona no outro, mesmo que vendidos como modelos iguais.

Aliás, nesse aspecto o mercado de roteadores é péssimo, já que comprando um mesmo modelo, e a depender de qual revisão é, você vai levar um lixo para casa em vez de algo bom. Simplesmente não há garantias legais de que dois modelos colocados no mercado como iguais possuem o mesmo desempenho (já que revisão de HW não é algo que costumam destacar como característica nas prateleiras, nem nas lojas ditas especializadas).

A TP-Link ainda era menos pior nesse quesito porque evitava essa excessiva fragmentação de hardware em nível global e sempre mantinha todas as versões lançadas até certo ponto atualizadas, com umas duas ou três atualizações mesmo para modelos básicos. Hoje em dia adota a mesma estratégia torta da D-Link de inundar o mercado com um produto que no Brasil se chama X e na Europa, o mesmíssimo hardware, se chama Y (o que permitia inclusive utilizar firmware de um no outro com perfeito funcionamento), só que ao procurar informações sobre um, não dispõe sobre as atualizações sobre o outro que serviriam perfeitamente no modelo.

Pra finalizar o textão, digo que os roteadores foram por anos negligenciados e agora se tornaram as peças mais perigosas das nossas redes. Sendo um dispositivo utilizado para promover a conexão para toda a residência ou pequena empresa, eu acho que esses ataques serão ainda mais frequentes futuramente por motivo de facilidade. E infelizmente o grande público, geralmente leigo, que utiliza aquele roteador que a Oi deu a uns 10 anos atrás e que nunca foi atualizado, será o mais afetado. Aliás, até os ditos "nerds" negligenciam bastante a parte do roteador...