Os ataques a roteadores por meio de sites maliciosos continuam em alta no Brasil, de acordo com a empresa de antivírus Avast. Na última quarta-feira (10), a companhia informou que detectou e bloqueou mais de 4,6 milhões de sequestros de DNS (sigla em inglês para Domain Name System) no país apenas entre fevereiro e março deste ano.

DNS é um banco de dados que traduz nomes de host para endereços únicos de IP (Internet Protocol). Quando ocorre o sequestro de DNS de um roteador, o autor do ataque pode redirecionar a busca do usuário para qualquer página que ele quiser. Ou seja, ele passa a ter a capacidade de controlar remotamente toda a navegação das máquinas conectadas na mesma rede de Internet. Desse modo, ele pode levar as pessoas a sites falsos ou maliciosos para realizar ataques virtuais, como roubo de dados.

Normalmente, esse ataque é feito por meio de falsificação de solicitações entre sites (Cross-Site Request Forgery – CSRF). Com essa ação, um hacker consegue modificar as configurações de roteadores Wi-Fi para cadastrar servidores de DNS maliciosos, que redirecionam os visitantes para sites falsos.

Os ataques costumam começar quando um usuário visita um site comprometido que consegue explorar e infectar o roteador Wi-Fi. É comum que essas páginas tenham publicidade maliciosa (ou malvertising). No Brasil, o malvertising geralmente é encontrado em sites de conteúdo adulto, filmes ilegais e esportes. Só no Brasil, durante o primeiro semestre do ano, o antivírus da Avast detectou mais de 180 mil roteadores que tiveram as configurações de DNS sequestradas.

Os ataques acontecem quando os roteadores usam senhas administrativas fracas e são vulneráveis à ataques de CSRF. A Avast diz que o invasor usa o ataque ao DNS para fazer phishing, exibir anúncios maliciosos em páginas da Web legítimas ou usar o computador da vítima para minerar criptomoedas.

Páginas falsas pode ser difíceis de identificar, porque costumam ter endereço e visual parecidos com as originais. Mas, graças ao aumento do uso da segurança da camada de transporte – protocolo que confirma a legitimidade da página colocando HTTPS e um cadeado na URL – ficou mais fácil identificar a falsificação. Por exemplo, sites HTTPS comprometidos não exibirão o cadeado.

Reprodução

Site real do Santander: URL usa HTTPS (um padrão seguro) e certificado SSL — representado por um cadeado verde na barra do navegador


Reprodução


Site falso do Santander: não há HTTPS nem cadeado na barra do navegador — o que indica que o site não é confiável

 

Segundo a Avast, os sites falsificados com mais frequência no país são:

• Santander (24%);
• Bradesco (19%);
• Banco do Brasil (13%);
• Itau BBA (13%);
• Netflix (11%);
• Caixa (10%);
• Serasa Experian (10%).

Roteadores D-Link, Motorola, TP-Link, GVT e Vivo já foram alvos de ataque. Os dispositivos mais afetados são populares no país:

• TP-Link TL-WR340G
• TP-Link WR1043ND
• D-Link DSL-2740R
• D-Link DIR-905L
• A-Link WL54AP3 e WL54AP2
• Medialink MWN-WAPR300
• Motorola (Arris) SBG6580
• Realtron
• Gothan GWR-120
• Secutech RiS-11/RiS-22/RiS-33

Além de ficar atento à legitimidade de sites, a Avast informa que as pessoas podem se proteger mantendo o firmware do roteador atualizado ou mesmo substitui-lo quando não houver mais atualizações disponíveis. Também é importante criar senhas administrativas fortes e verificar as configurações DNS periodicamente. 

Na página da companhia há mais informações sobre o sequestro remoto de roteadores.