Ataques a modems ADSL: como se proteger

Criminosos brasileiros têm se aproveitado de falhas em modems ADSL para realizar fraudes. O problema se deve ao fato dos internautas utilizarem de senhas fracas/padrão e/ou brechas de segurança existente em alguns modelos de modems.

Este tipo de ataque não é detectado e nem impedido por antivírus e firewall existentes no computador do internauta. Os criminosos alteram as configurações do DNS existentes no modem e com isso redirecionam os sites alvo, como bancos ou grandes portais.

Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação.

O Ataque

Abaixo vamos relatar um caso real em que um modem ADSL foi comprometido e teve sua configuração de DNS alterada. Um dos sites redirecionados era o da Caixa Econômica Federal. Vamos dar o nome de Paulo para o usuário que teve seu modem invadido. (Importante salientar que todos os grandes bancos já foram alvo deste ataque, mas queremos apenas ilustrar o problema citando a Caixa.)
Paulo, que teve o seu modem comprometido, acessa o Internet Banking do seu banco (Caixa Econômica Federal). Observem a página na imagem abaixo:

Site falso da Caixa em endereço legítimo:

O endereço que aparece no navegador de Paulo parece ser verdadeiro, mas se observarmos bem, o https não está presente neste endereço.
Observem agora a verdadeira página do Internet Banking da Caixa.

Site verdadeiro da Caixa, com SSL :

A diferença entre as duas imagens é a presença do https no endereço, que indica que os dados são transmitidos através de uma conexão criptografada.

Para Paulo, ele realmente estava acessando o Internet Banking da Caixa, porque o site falso é idêntico ao verdadeiro e o endereço que aparece no navegador dele é o da Caixa.
Com o modem comprometido utilizando os DNSs do criminoso e um dos sites alvo sendo o da Caixa Econômica Federal, Paulo executou um comando ping, no Prompt de comando do Windows, no endereço “internetbanking.caixa.gov.br”.
Veja abaixo o resultado logo abaixo.

Resposta do comando ping dá pistas de redirecionamento:

Observamos na imagem acima que na resposta do comando ping existe um endereço do tipo “.clouduol.com.br”. Isso não parece estranho? Como que ao executar um comando ping para o endereço “internetbanking.caixa.gov.br” na resposta aparece um “.clouduol.com.br”?

Isso mostra que ao acessar o endereço “internetbanking.caixa.gov.br”, Paulo estava sendo redirecionado para um outro endereço localizado dentro do “.clouduol.com.br” — diferente do endereço digitado no navegador.

Nos piores ataques, os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros.

Como saber se seu modem foi comprometido com as falsas DNS?

O internauta Paulo passou antivírus/antimalware em seu computador e nada foi encontrado.

Uma outra atitude foi então tomada: Paulo alterou as DNS da conexão do Windows para as DNS do Google (8.8.8.8 e 8.8.4.4) a fim de verificar se o problema era resolvido. Depois de configurar as novas DNS, Paulo então acessou o Internet Banking da Caixa Econômica Federal e constatou que estava no site verdadeiro.
Paulo decide acessar as configurações de seu modem e verificar as DNS que estavam configuradas.

Detalhe da configuração de um modem comprometido:

Observamos na imagem acima que existem DNS “200.98…” setadas no modem. Isso é uma prova de que o modem foi comprometido com falsas DNS. Uma medida tomada por Paulo foi resetar o modem para a configuração de fábrica.
Lembre-se: com os servidores DNS alterados no seu modem, todo o trafego de internet do seu computador que não estiver devidamente protegido por SSL (https e afins) pode ser monitorado.

Como se proteger?

1. Atualize o firmware do seu modem. Geralmente no site do fabricante você verá o download disponível gratuitamente, conforme o modelo. É necessário extremo cuidado para realizar esse procedimento, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet.

2. Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional).

3. Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões .

4.  Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo.

5. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem.

Alguns fabricantes de modems já reconheceram as falhas em seus produtos e disponibilizaram atualização, como a D-Link e a Intelbrás.

Agradeço ao Lucas e ao Davi, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Linha Defensiva

Kaspersky Labs explica: como são feitos os roubos e como evitá-los

O Kaspersky Labs explica através de um infográfico como são feitos os roubos e como evitá-los

O risco é já uma realidade: todos os dias são detectados mais de 5000 páginas web comprometidas, mais de 1400 novas amostras de malware bancário e 230 novos keyloggers.

Hoje em dia, os dados de acesso a sites de Internet banking ou de cartões de crédito são os mais desejados pelos cibercriminosos, que tentam de todas as formas se apropriar deles para obter dinheiro de forma indevida. É, por isso, fundamental que os usuários protejam todos os seus dados na Internet para evitar que venham a se tornar vítimas do cibercrime e ficar no prejuízo.

Mas como os cibercriminosos conseguem ter acesso a este tipo de informação? Existem vários caminhos:

• O principal é o Phishing, que faz com que o usuário seja induzido a informar seus dados em páginas da Internet falsas. De fato, 70% dos emails infectados tem como foco a fraude para o roubo de dinheiro.
• O usuário é redirecionado quando utiliza uma conexão não segura. O Wi-Fi gratuito e público é potencialmente o tipo de conexão mais perigosa.
• Outro dos meios é acessar um site legítimo mas que está comprometido. Todos os dias são detectados mais de 5000 páginas Web comprometidas.
• Utilizando um equipamento infectado. Os programas maliciosos podem redirecionar o usuário para websites de Phishing, roubar as suas senhas e números de cartões de crédito muitas vezes presentes no HD ou interceptar as informações que são trocadas com o banco. Todos os dias são detectadas mais de 1400 novas amostras de malware bancário.
• Interceptando as teclas que o usuário digita no seu teclado quando busca acesso à informações sensíveis e sigilosas, como senhas ou PINs. Todos os dias se descobrem 230 novos programas do tipo keylogger.

A Kaspersky Lab dá alguns conselhos básicos aos usuários para protegerem os seus dados financeiros e prevenirem potenciais ataques:
– Instalar no equipamento uma solução de segurança atualizada e que inclua proteção especial para pagamentos seguros.
– Navegar em websites de confiança e através de uma conexão igualmente confiável.
– Utilizar um teclado virtual ou seguro que seja capaz de evitar que as passwords sejam interceptadas por um keylogger.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Wintech