Início » Antivírus e Segurança » Roteadores da D-Link e TP-Link continuam sendo invadidos no Brasil

Roteadores da D-Link e TP-Link continuam sendo invadidos no Brasil

Ataques mudam servidores de DNS nos roteadores e direcionam usuário para golpes de phishing e mineração de criptomoeda

Paulo Higa Por

Faz quase um ano que o GhostDNS foi descoberto, mas ele continua fazendo vítimas no Brasil. O exploit modifica remotamente as configurações dos roteadores Wi-Fi para cadastrar servidores de DNS maliciosos, redirecionando os usuários para sites falsos. De acordo com a Avast, mais de 4,6 milhões de ataques do gênero foram detectados no país só entre fevereiro e março de 2019.

Router - TP-Link

Os ataques ocorrem pelo método CSRF (falsificação de solicitação entre sites). A empresa explica que os códigos maliciosos são encontrados em anúncios de determinados sites brasileiros, principalmente os que hospedam filmes, fazem transmissões ao vivo de jogos ou têm conteúdo adulto. Esses scripts fazem requisições automáticas à página de administração do roteador sem que o usuário perceba.

Quando o ataque é feito com sucesso, os servidores de DNS do roteador são alterados para IPs maliciosos. Assim, ao tentar visitar itau.com.br, banco.bradesco ou bb.com.br, por exemplo, o usuário é direcionado a um site falso que o induz a digitar suas informações de acesso ao internet banking — e esses dados vão parar diretamente nas mãos do criminoso.

Segundo a Avast, os bancos são os principais alvos do exploit: o Santander é o mais afetado, respondendo por 24% das falsificações, seguido pelo Bradesco (19%), Banco do Brasil (13%) e Itaú (13%). Mas há uma novidade entre os sites falsos: a Netflix (11%), o que ajuda a explicar por que centenas de contas roubadas de serviços de streaming estão sendo vendidas na dark web.

No caso do Santander, o usuário digita o endereço correto do banco no navegador e cai em uma página que se parece com a original, mas está ali para roubar dados de acesso. Quem for mais atento perceberá que o cadeado de segurança (que não quer dizer site seguro) não é exibido na barra de endereços, mas o golpe de phishing é bastante convincente.

Site verdadeiro do Santander

Site verdadeiro do Santander

Site falso do Santander

Site falso do Santander

Outra forma de os criminosos lucrarem é por meio de anúncios falsos. Os servidores de DNS modificados interferem em domínios do Google AdSense, Taboola, Outbrain e PopCash para substituir as propagandas originais por banners de extensões maliciosas, por exemplo. Como essas redes de anúncios estão em milhões de sites na internet, trata-se de uma forma mais rápida de atacar usuários com roteadores infectados.

No primeiro semestre de 2019, pelo menos 180 mil roteadores no Brasil estavam com servidores de DNS infectados. Esse número só considera a base de usuários do Avast Antivírus, então certamente é bem maior na prática.

Roteadores D-Link, Motorola, TP-Link, GVT e Vivo são atacados

Os roteadores mais afetados são modelos populares nas residências brasileiras:

  • TP-Link TL-WR340G
  • TP-Link WR1043ND
  • D-Link DSL-2740R
  • D-Link DIR-905L
  • A-Link WL54AP3 e WL54AP2
  • Medialink MWN-WAPR300
  • Motorola (Arris) SBG6580
  • Realtron
  • Gothan GWR-120
  • Secutech RiS-11/RiS-22/RiS-33

E, pelas combinações de usuário e senha utilizadas com sucesso pelos exploits, fica claro que os provedores têm uma boa dose de culpa pelos ataques, especialmente a Vivo e a antiga GVT:

  • admin:admin
  • admin:
  • admin:12345
  • Admin:123456
  • admin:gvt12345
  • admin:password
  • admin:vivo12345
  • root:root
  • super:super

Para se proteger, é recomendável consultar o fabricante do roteador para verificar se há atualizações de firmware e, principalmente, alterar a senha padrão de administração.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

MarcSant

Uso o Google Wifi como roteador principal a uns 2 anos, podem tentar invadir a vontade. Ele não tem interface de gerenciamento local, apenas pelo App do Google, e é monitorado e atualizado automaticamente pelo Google. Vale o quanto custa.

Rafael Moreira

Uso uma Xiaomi Mi Box sem problema algum na rede interna.

Rafael Moreira

O primeiro passo é alterar a senha do equipamento. O modem da Net passei para bridge, e deixei o TP-Link C9 ditando as regras com a senha alterada.

John Smith

Não sei, o quê? Me explique por gentileza o que exatamente um usuário doméstico comum, que apenas quer ter uma internet em casa e pra isso contratou o serviço com a configuração feita integralmente pela operadora, tem mais que todo mundo?

Alberto Prado

Aí o roteador poderia exigir pelo menos uma letra maiuscula, números e um caracter especial. Mas é bem provável que o cara voltaria na loja pra devolver pq não gostou e pega um que aceite admin admin. 😂😂😂

Alberto Prado

Eu ia fala que talvez ele faça compra com boleto. Mas lembrei que já vi vírus que modificam a geração do código de barras do PDF "on the fly" por Assim dizer...

Alberto Prado

Cria uma rede secundária e deixa a opção de isolar dispositivos ativada. Se o firmware original não permitir isso, tenta um alternativo.

Alberto Prado

Eu até desativou o WPS.
Assim como só deixo ativado o WPA2-AES.

César

Porque não compra um Amazon Fire ou Chromecast? BR não pode ver uma porcaria que quer comprar. pqp

Felipe Liʍa

Oq ele quis dizer eh q ele nao tem dinheiro no banco e nem faz compras online

Felipe Liʍa

O site falso do Santander e mais bonito e responsivel q o site verdadeiro 🤔

Leumas Ninguem

Ainda bem que meu Archer C60 tem login e senha diferentes e posso controlar pela nuvem

Cleber Barros

Usuário não troca senha. Operadora não atualiza seus aparelhos e as Fabricantes de roteadores cito a tp-link pq já uso a anos, não atualiza seus aparelhos mesmo sabendo que esta sendo atacado. Então querem mais que o usuário se foda mesmo.

Everton Lopes

E eu pena de você kkkk acha que entende.

brunocabral

Mudei as do meu trabalho depois que os alunos descobriram como acessar por ataque de wps e senha admin.

Exibir mais comentários