Ads Top

Páginas falsas de banco? Cuidado você esta sendo vítima de golpe


Existem inúmeras maneiras de gerar fraudes na internet algumas facilmente detectáveis e outras nem tanto,  algumas técnicas podem destruir a falsa segurança que muitos usuários de sistemas Unix possam pensar em ter e/ou usufruir, por esse motivo é preciso sempre estar atento ao que acontece diante de sua tela. A premissa aqui é você não esta seguro!

DNS hijacking

O DNS hijacking  é a prática de subverter as consultas resolução de Domain Name System (DNS). Que pode ser conseguido via  malware que substitui a configuração TCP/IP de um computador para apontar para um servidor DNS malicioso sob o controle de um atacante, ou através da modificação do comportamento de um servidor DNS confiável para que ele não esteja em conformidade com os padrões de internet. Essas modificações em maior parte do tempo são feitas para fins maliciosos, tal como o phishing.

DNS cache poisoning

Hoje mesmo você pode estar sendo vítima de ataque de envenenamento de cache (DNS cache poisoning) que leva o servidor a armazenar informações forjadas para comprometer a segurança de clientes que façam o uso dele, isso pode acontecer em servidores da empresas, provedor de conectividade etc. Existem muitos relatos na internet onde dizem que alguns DNS de provedores foram comprometidos.

Nesse video pode se ver claramente um ataque do tipo DNS cache Poisoning dentro do próprio servidor DNS da Rede NET, conforme pode se acompanhar no ultimo teste realizado pela vítima. Ao ligar o cabo diretamente no modem são listados endereços de DNS da NET, provavelmente comprometidos na época.

A página falsa

Aqui relato meu caso para exemplificar o perigo destas técnicas de DNS hijacking.

Ao acessar a página do domínio do banco, notei que era falsa, nada funcionava, a não ser os campos de digitação de agência e conta, mesmo sem digitar qualquer informação ao pressionar ok, a página redirecionava para uma outra que não era no padrão HTTPS e com uma estrutura de link ligeiramente diferente do usual do site do Banco. Qualquer informação fornecida nessa página não vai para o site do banco e sim para o computador do criminoso.

Ao verificar constatei que não era um problema do computador, mas sim de um roteador de Wifi que foi comprometido e que teve os endereços de DNS alterados,  ou seja, eles estavam apontados para um servidor de DNS malicioso. Provavelmente alguém acessou alguma página infectada que rodou um script que fez o ataque ao roteador alterando os endereços. Eles eram de Dallas, EUA e Amsterdã, Holanda que encaminhavam para este endereço de IP reportado no phishtank onde estava a página falsa. Notem que este endereço  foi reportado no mês de maio deste ano e ainda esta no ar, ela aparentemente é usada para obter as informações de diversos bancos do Brasil, principalmente aqueles que não adotam o protocolo HTTPS para todas as páginas.

HTTPS?

As conexões HTTPS se utilizam de certificados digitais para assegurar que o servidor enviando as informações para o navegador é um servidor do dono do domínio de fato. É um absurdo que o BB, Caixa, Santander, Bradesco etc. não usem o HTTPS em suas página iniciais e diversas internas, fica muito, mas muito mais fácil para os criminosos explorar falhas e obter sucesso para redirecionar clientes para páginas falsas como essa.

Prevenindo o ataque

Utilizando os endereços de DNS comprometidos, a internet teoricamente vai funcionar normalmente na maioria dos casos, mas ela pode ficar lenta e alguns sites podem não ser carregados ou apresentar problemas, fora este detalhe as requisições para páginas devem ser respondidas normalmente, bem como HTTPS  de sites de email, redes sociais etc. Somente as páginas de interesse dos criminosos serão redirecionadas para obter os dados da vítima, mas mantendo o domínio e links semelhante ao original, tornando bem complicado a detecção por leigos em uma rede domestica, de pequenas empresas ou mesmo empresas grandes que não tenham qualquer cuidado com segurança.  Ainda existem relatos que os atacantes pode ativar o redirecionamento em alguns períodos do dia, semana, isso tudo para tornar mais difícil a detecção em um servidor legitimo infectado ou ainda para um malicioso. Tudo para se manter ativo por mais tempo para pegar a maior quantidade de vítimas possíveis (Um dia depois do ataque monitorei novamente um dos servidores DNS e ele não estava apontando para o endereço de IP falso, fica difícil saber se era uma maquina pirata ou legitima, que esta hibernando para ser ativada em um novo ataque).

Existem algumas medidas para complementar a segurança que listo abaixo:

    1. Substituir as senhas padrões de roteadores para uma segura (nunca mantenha a senha padrão de fabrica de roteador ela é amplamente conhecida).

    2. Substituir os endereços de DNS dos servidores do provedor nos computadores ou roteadores para os servidores do Google ou OpenDNS.

    3. Solicitar ao provedor de acesso substituição imediata de modems/roteadores com falhas de segurança.

    4. Verificar se o sites de banco estão operando com o protocolo HTTPS para transmissão de dados e se os certificados validos e assinados (pode ser observado com um duplo clique no cadeado para conferência do endereço na caixa de endereço no topo do navegador)

    5. Essa esta fora na parte tecnológica, mas se detectar que houve alguma fraude ligue imediatamente para seu banco. Cada banco tem sua politica para lidar com isso (que são péssimas, inúteis e ineficientes na maioria dos casos).

Sabemos que em muitos casos o banco e a provedor não admitem seus erros e se omitem, mas podemos ver claramente que a falta vontade, investimento e comprometimento para resolver o problema, neste texto mesmo você viu alguns deles o caso do Https, comprometimento do DNS do provedor, eu teria páginas de duras criticas para fazer quanto a inúmeros problemas que encontramos por parte deles, mas não quero me alongar.

Conclusão

Tentei escrever o artigo de maneira mais clara possível, mas é preciso um pouco de pesquisa por parte dos interessados, não existe receita de bolo pronta e padrão, segurança é algo complexo para se lidar. Não é só comprar um roteador e ligar na rede ou chamar aquele sobrinho para dar uma força, diariamente temos noticias de centenas ou até milhares de pessoas sendo vítimas e o numero só tende a aumentar. Realmente fico chateado, a inclusão digital veio e as pessoas não estão preparadas para lidar com nada disso, são um prato cheio na mão de cyber criminosos.

Cada um de nós é responsável por zelar pela própria segurança, mantendo sistemas atualizado, utilização de senhas fortes, anti-vírus, firewall etc. Por isso gostaria de alertar que mesmo acessando via sistemas Unix/Linux não quer dizer que estamos a salvos e imunes a tudo, mas o efeito que considero mais grave é: baixar a vigilância! Infelizmente, ela deve ser constante  não podemos dar o luxo de se descuidar se quisermos nos manter seguros.

8 comentários:

  1. Marques Oliveira8 de junho de 2015 09:40

    Eu tentei acessar o site do Banco do Brasil e parece estar desatualizado, quando eu vejo não tem cadeado to achando que pode ser fraude (minha internet é a da vivo ). Alguém mais teve esse mesmo problema?

    ResponderExcluir
  2. Não forneça seus dados no site e não faça qualquer transação bancaria se não tem certeza que este seja o site seja legitimo. Este post cobre fraudes com técnicas de DNS hijacking, dependendo de seu sistema operacional "leia se Windows" você pode estar com vírus, trojan entre outros tipos de falhas de segurança. Tente observar o comportamento da internet no acesso a sites. Verifique as ferramentas de diagnostico possíveis e tente usá-las para detectar o problema.

    ResponderExcluir
  3. Estou tentando acessar o Iternet Banking e cai sempre numa página falsa pedindo tudo as senhas.

    O Bradesco me informou que devo formatar o computador pois se trataria de virus.

    Tenho mesmo que formatar? 2 computadores esta com o mesmo problema.

    ResponderExcluir
  4. Estou sendo direcionada a uma pagina clonada do Banco do Brasil. Já usei AVG, Avast, AdwCleaner ... nada resolve. me disseram que era banker ajuda por favor

    ResponderExcluir
  5. Minha namorada usa windows 8.1 e sofreu um ataque dessa natureza em seu roteador o provedor era da GVT.

    Eu tenho um MAC e confesso que não me preocupo com segurança, mas vendo esse video e depois de ler o texto entendi que devo tomar mais cuidado.

    ResponderExcluir
  6. Sim, não se descuide! Uso Linux aqui e conheço inúmeros usuários de sistema unix principalmente novatos que estão achando que nada pode atingi-los esse é um pensamento perigoso existe muitos agentes externos para avaliar.

    ResponderExcluir
  7. Luiza, verifique o seu modem ou roteador.

    Essa turma que diz que é banker é do tipo de especialista de segurança de fim de semana que gosta de fazer faxina no pc instalando centenas de programas caçadores de Malware, suponho que você usa Windows. Tente usar outra conexão de rede caso seja possível, verifique o comportamento da navegação geralmente ela já entrega qual o tipo de problema esta ocorrendo. Um fórum é o melhor caminho para obter ajuda deste tipo, eu listei apenas um tipo de ataque existem muitos outros.

    ResponderExcluir
  8. Geralmente suporte de Banco não vai ter ajudar em nada mesmo, faça as verificações sugeridas, nem todo o problema de pagina falsa é caso de DNS. Pode ser realmente vírus, redirecionadores por uso de link modificado, acesso via email falso, etc. são muitas possibilidades.

    ResponderExcluir

Cada comentário é apreciado, mas tenha em mente que os comentários são moderados e podem levar algum tempo para aparecer. Todos os comentários de spam serão excluídos.

Tecnologia do Blogger.