quarta-feira, 15 de abril de 2015

Servidor DNS me Leva a Site Falso do Bradesco

Na última sexta-feira à tarde dia 10/04/2015, ao acessar o Internet Banking do Bradesco, sem saber na hora, me deparei com uma página falsa. Mesmo digitando no navegador de internet www.bradesco.com.br a página que era carregada, era idêntica a original, mas era falsa.

No primeiro acesso, não percebi a farsa e cheguei a digitar a minha senha de 4 dígitos e uma posição do cartão chave de segurança. Mas ao acessar a página seguinte que pedia todas as posições do cartão chave de segurança e mais a senha de 6 dígitos do cartão de débito, é que percebi que aquela página poderia ser falsa.

Liguei para o fone fácil Bradesco cujo telefone é (21) 40020022, e falei com uma atendente que me confirmou ser falsa a página que eu estava acessando já que o banco Bradesco nunca pede todas as posições do cartão chave de segurança e muito menos a senha de 6 dígitos do cartão de débito do cliente.

Depois que confirmei a farsa do site que eu estava acessando, achei melhor trocar a senha de 4 dígitos do fone fácil. Ligando para o fone fácil Bradesco, você consegue trocar a senha de 4 dígitos no atendimento eletrônico. Fiz isso e resolvi também cancelar o meu cartão chave de segurança já que eu cheguei a digitar uma posição na página falsa.

Resolvido todas as questões dos dados que eu cheguei a digitar na página falsa do golpista, comecei a investigar o meu computador pessoal pra saber porque mesmo digitando corretamente o site do banco no navegador de internet, o site que era carregado era o falso. Passei o anti-vírus (inclusive baixei a versão paga de testes do AVG Internet Security) e nenhum vírus foi encontrado no meu computador. 

Apaguei todo o histórico de internet como cookies, senhas salvas, dados de formulários, nos 2 navegadores de internet que eu uso (Google Chrome e Internet Explorer). Limpei o registro do computador usando o programa ccleaner. Mesmo tomando todas essas atitudes, o site que era carregado no meu computador sempre que eu digitava www.bradesco.com.br, era o site do golpista que é idêntico ao original, mas não tem o https que indica uma conexão criptografada.

Diante disso, comecei a fazer várias pesquisas no Google pra ver se eu descobria o que estava errado. Acabei descobrindo que o problema estava no servidor DNS configurado dentro do modem ADSL que eu uso para acessar a internet através do Oi Velox. Entrei nas configurações do modem e alterei o DNS. Feito isso, consegui acessar o site verdadeiro do Bradesco. Mas aí, fiquei me perguntando: Como que o servidor DNS configurado no modem ADSL do Velox, foi alterado sozinho?

Foi aí que eu descobri que o modelo do meu modem ADSL Dlink 500B, tem uma vulnerabilidade de segurança que permite a alteração dos servidores DNS remotamente por um comando de um site malicioso. Invés do vírus atacar diretamente o computador, ataca o modem ADSL se aproveitando de possíveis falhas de segurança que o equipamento tiver. A falha mais grotesca do Modem Dlink 500B, é o fato da senha de acesso poder ser descoberta através do código fonte da firmware do aparelho.

Além disso, a senha que estava configurada no meu modem, era a padrão de fábrica admin, admin. Com certeza, algum site malicioso mandou remotamente um comando para o meu modem, para acessar as configurações do aparelho tentando no primeiro instante, a senha padrão admin, admin e com isso conseguiu alterar os servidores DNS para um malicioso sem que eu fizesse a menor idéia disso. Lógico que a falha de segurança reconhecida pelo fabricante do meu modem, também pode ter contribuído para a alteração do DNS.

Agora que eu sei o que aconteceu para eu ter entrado na página falsa do Bradesco, troquei a senha padrão do modem por uma bem forte. Mas também tenho que resolver a falha de segurança que esse modem tem. Vou ver se dá pra atualizar a firmware do modem Dlink 500B. Entrei no site do fabricante e vi que tem algumas atualizações de 2012 para esse modem justamente para corrigir a falha de segurança que o modem tem com versões anteriores.

Mesmo que meu modem seja de alguma forma atacado novamente tendo os servidores DNS alterados remotamente, dessa vez o vírus vai ter que atacar também meu roteador TP-link modelo MR-3220 3G/4G já que eu configurei nele servidores DNS alternativos, atualizei a firmware dele para a mais recente e também troquei a senha padrão de acesso dele por uma bem forte.

Então, mesmo que algum vírus ou comando de algum site malicioso consiga novamente alterar o DNS do meu modem ADSL, como no roteador o DNS está configurado de forma alternativa (não está no modo automático como antes), dificilmente vou ter esse tipo de problema novamente já que pra eu usar o DNS do golpista, ele vai ter que invadir também o meu roteador. Só caí nessa antes, porque meu roteador estava configurado para usar o DNS automático definido pelo modem.

Agora que eu sei que esse tipo de golpe de alteração do servidor DNS existe em modens e roteadores, recomendo que você que está lendo esse artigo, faça as mesmas coisas que eu fiz antes que você tenha problema parecido com o que eu tive. Por muito pouco, não tive todos os meus dados bancários capturados por um site falso do Bradesco na qual o responsável por isso, era um servidor DNS malicioso que estava configurado dentro do meu modem ADSL.

Antes de fazer a alteração do DNS do meu modem, anotei o número do maldito DNS malicioso  e fiz alguns testes com ele configurando direto no computador e comprovei que era mesmo ele que estava fraudando a minha internet. Vou ver se passo o número dele para a delegacia de crimes virtuais pra que ele seja banido da internet de uma vez. Mas o problema é que deve existir milhares de servidores DNS maliciosos espalhados pelo mundo feitos para redirecionar sites de bancos para páginas falsas. De qualquer forma, com um a menos no ar, já é alguma coisa pra tentarmos acabar com esse tipo de fraude.

Antes de eu trocar o DNS no modem, fiz um vídeo mostrando a página falsa do Bradesco e publiquei no youtube. Vejam o vídeo e comprovem que colocando um DNS normal no computador (usei o OpenDNS), eu consegui acessar o site verdadeiro do Bradesco. Mas com o DNS automático no computador (nesse caso, o computador usou o DNS malicioso que estava dentro do modem), o site que eu acessava era do golpista. 




9 comentários:

  1. Muito interessante seu artigo, eu mesmo já passei por isso. No meu caso era um modem da Tp-Link também ligado a Oi Velox e o bug foi percebido quando tentei acessar o aplicativo do BB em meu smartphone e o mesmo começou a apresentar problemas no acesso através da minha wifi e acessando normalmente via 3G. Felizmente mesmo usando Linux já havia abandonado o acesso ao home-banking quando conheci o fantástico aplicativo que o BB havia lançado para Android (não entrarei em detalhes sobre possíveis riscos pois não faço root no aparelho, e limito bastante o acesso a internet navegando somente com aplicativos idôneos e baixados da Play Store).
    O diferencial no cenário, é que os relatos encontrados de bugs não estariam afetando este equipamento e as senhas utilizadas não eram mais as padrões (aparelho com vários usuários de acesso por default).
    Ao acessar a configuração do modem, percebi de cara que os DNS estavam alterados, setei para o padrão novamente e o aplicativo do BB voltou a funcionar. Fiz a atualização de firmware do modem, alterei as senhas de acesso novamente e passei a monitorar a situação a qual me pareceu estar resolvida. Por segurança adotei o uso dos DNS do google localmente e não mais DNS atribuíto automaticamente pelo Gateway. Passado uns 20 dias percebo que a situação voltou a ocorrer mesmo com firmware atualizado e as senhas devidamente trocada e desespero começou a bater pois teria que me desfazer do equipamento que por sinal funcionava muito bem.
    Um belo dia acessando um desses sites qualquer, popup de um lado, popup de outro, ao tentar fechar um popup o mesmo estava bloqueado pois estava pedindo autorização de acesso e para minha surpresa era a janelinha de autenticação para entrar na configuração do modem. Dado conhecimento do problema, lembrei de tal situação ter ocorrido anteriormente onde a janelinha da autenticação havia aparecido outras vezes, e por ironia da circunstância eu acabei efetuando a autenticação em alguma delas. Zerei históricos, caches e cookies, voltei ao site onde detectei tais popups maliciosos mas infelizmente não consegui simular mais tal situação, não consegui descobrir a origem do popup e nada de cache para analisar códigos fontes. Em todos os meus acessos, nunca mais a janela de autenticação voltou aparecer, e os DNS internos do modem permanecem inalterados.

    Um problema que percebo a longa data, é que em muitos casos ao acessar o IP remoto do modem de forma local, é permitido por default acesso as configurações, bastando apenas execução de alguns scripts e as configurações estarão alteradas. Falei bastante, fui repetitivo, não sei se consegui explicar a situação, mas os problemas vão além dos bugs em firmwares.

    ResponderExcluir
    Respostas
    1. Seu comentário também é muito interessante. Eu li em alguns artigos que quando o vírus não consegue acessar as configurações do modem ou roteador, ele induz o usuário a colocar os dados aparecendo a janela de login e senha. Se o usuário preencher os dados, o vírus consegue acesso total do aparelho e pode alterar o servidor DNS sem que o usuário perceba.

      De qualquer forma, temos que ter cuidado com esse tipo de ataque e sempre verificar o cadeado de segurança dos sites de bancos e mesmo assim, na dúvida, preencher os dados errados no primeiro acesso pra ver se o site vai informar que os dados estão incorretos. Se os dados incorretos forem aceitos pelo site, a página é falsa.

      Excluir
  2. THIAGO MORO EM PERNAMBUCO E AO TENTAR ACESSAR A FATURA DE UMA COLEGA MINHA NO SITE DO BRADESCO, ACABEI CAINDO NESSE GOLPE, NO MEU CASO EU CHEGUEI A DIGITAR TODAS AS SENHAS E CHAVES, MAIS COMO EU PERCEBI O GOLPE MINUTOS DEPOIS, LIGAMOS PARA O BANCO ELES MANDOU A MESMA TROCAR DE CARTÃO URGENTE.

    ResponderExcluir
    Respostas
    1. Fez bem em trocar de cartão urgente. Troque todos os seus cartões e troque também a senha de 4 dígitos do fone fácil já que o golpista tem a senha quando vc a digitou pra acessar o Internet Banking.

      Excluir
  3. Olá Thiago, atualizar um pouco aqui, aconteceu comigo hoje e buscando saber se já tinham comentários na net sobre uma abordagem que não é necessariamente virus e não achei, acabei aqui.

    Dois dias atrás eu havia configurado minha rede, dois roteadores, um modem e um repetidor. Alterei os endereços de cada aparelho, exceto um. Acessando alguns sites, não consegui ver qual, tinham infinitas abas abertas +30, um popup, daqueles de conexão ao roteador abriu, estranho, alguns sites com erros de configuração, podem solicitar autenticação para ver algum dado, mas até aí normal, fui ver no que dava, tome enter, já com as informações de autenticação do roteador. O chrome começou a sobrecarregar a memória, uma aba passou de 500Mb de consumo e encerrei todo o processo. Malandro, fui na pagina do roteador ver os DNSs, e lá estavam 134.19.181.198 e 168.235.145.61, os quais eu não havia configurado. Detalhe, sou usuário linux, o que é meio improvável que tenha sido "virus". Os ambientes de navegadores estão se tornando tão complexos que funcionam como maquinas virtuais dentro do próprio computador. Eu mesmo executo gerenciador de banco de dados dentro do firefox, como se fosse uma aplicação do sistema operacional. Não acho difícil qualquer tipo de script pra manipulação de uma página. Tenso.

    ResponderExcluir
  4. Olá, Thiago. Muito obrigada pela explicação. Percebi que faltava o https da página do Bradesco e, ao colocar no google, "Bradesco página falsa", apareceu seu blog e tudo ficou muito claro. Serviço de utilidade pública.

    ResponderExcluir
  5. Parabéns pela sua iniciativa, mas no meu a alteração do DNS só pelo windows não resolveu. Vou tentar resetar o Roteador e alterar a senha...

    ResponderExcluir
  6. Bom dia. Seu artigo foi muito útil, pois consegui resolver o problema no computador. Mas no celular continua sem acesso, sabe como posso consertar no celular? Obrigada

    ResponderExcluir
    Respostas
    1. Vc precisa alterar o servidor DNS direto no modem ou roteador que vc está usando para se conectar na internet. Assim, qualquer aparelho, seja computador, celular ou tablet que estiver conectado através do wifi do seu roteador/modem vai estar usando o DNS correto.

      Vc deve alterar também a senha de acesso ao modem/roteador evitando que fique com a senha padrão de fábrica. Alterando a senha de acesso as configurações do seu modem/roteador vc protege as configurações que estão inseridas nele, minimizando que o aparelho seja invadido remotamente por algum vírus e altere o servidor DNS.

      Excluir