Apenas em novembro de 2019, a empresa de segurança digital Avast bloqueou cerca de 7 mil tentativas de falsificação de contas brasileiras a partir de ataques a roteadores. Os sites mais visados, de acordo com a companhia, foram endereços que solicitam senhas, logins e números da cartão de crédito, como o banco Bradesco e a plataforma de streaming Netflix, mas usuários de sites como Santander, PagSeguro e UOL também foram afetados.
Esse tipo de ataque consiste em utilizar endereços falsos para se passar pelos sites verdadeiros e é conhecido por Cross-Site Request Forgery (CSRF, na sigla em inglês).
O ataque acontece após o hacker executar comandos sem o conhecimento dos usuários e alterar as configurações de DNS (sistema de tradução de endereços IP para nomes de domínios, responsável por deixar as URLs da forma que conhecemos) nos roteadores de internet da vítima.PUBLICIDADE
Ao alterar essas configurações, os criminosos podem usar o roteador modificado para acessar servidores não autorizados. Ou seja, acessar os sites falsos que possuem o mesmo nome, mesma URL, mas IPs diferentes.
Geralmente, um ataque de CSRF ao roteador é iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising). Assim que a vítima clica em algum desses anúncios maliciosos, permite que o hacker entre na rede do usuário.
Com roteador invadido, ataque fica mais fácil
Após conseguir acesso à rede do roteador, o hacker pode acessar servidores não autorizados, que anteriormente eram bloqueados.
Nesses servidores não autorizados, os criminosos normalmente criam sites que redirecionam as vítimas para páginas de phishing (técnica de ‘fisgar’ dados privados ao enganar o usuário) que se parecem muito com páginas reais.
De acordo com informações do Avast, após o roteador ter sido atacado, o usuário que inserir a URL do Bradesco em sua barra de endereço, será redirecionado para uma versão de falsa do site do banco, onde poderá “fazer o login”. O site falso até imita o processo de autenticação em dois fatores. Tais etapas servem apenas para capturar os dados da vítima, já que todos os espaços do site não são reais.
Assim que o usuário acessa sua “conta falsa”, o site malicioso exibe uma mensagem de erro ou simplesmente age como se estivesse carregando, forçando a vítima a deixar o site.
Cópia falsa do site do Bradesco: a ausência do HTTPS antes da URL denuncia que o endereço não é confiável (Divulgação/Avast)
Quando os usuários fazem o logoff na versão de phishing, eles são direcionados para o site real do banco, onde poderiam realmente fazer o login da sua conta. Mas as informações já estão na mão dos criminosos.
A página de phishing da Netflix, por outro lado, exige que a vítima entre com seu endereço de e-mail e, então, solicita as informações de cartão de crédito.
“Eles [sites como Bradesco e Netflix] são escolhidos por serem populares e, em geral, exigem que os usuários façam login ou insiram informações de pagamentos. Depois que os usuários fazem isso, suas credenciais de login e informações de pagamentos vão diretamente para os cibercriminosos dando a eles o acesso à Netflix e às contas bancárias, por exemplo”, avalia Simona Musilová, Analista de Ameaças do Avast.
Simona ainda alerta que na maioria dos casos, o Bradesco ou a Netflix, por exemplo, não podem fazer nada a respeito, já que o ataque não partiu de suas URLs oficiais, deixando a vítima sem qualquer tipo de assistência.
“Além de alertar seus clientes, o problema é que poucos desses serviços evitam que os usuários sejam vítimas, pois os sites de phishing estão fora de seus domínios”, conclui a analista.
Desconhecimento do usuário é prato cheio para os hackers
De acordo com o Avast, a falta de conhecimento sobre o funcionamento de aparelhos como roteadores de internet é uma das principais fraquezas exploradas pelos criminosos.
Mesmo dentro da rede, caso o hacker não tenha acesso às credenciais administrativas do roteador, é muito difícil realizar qualquer ataque. Mas é ai que mora o problema.
Muitos roteadores são protegidos com credenciais fracas, pois geralmente permanecem com os dados de acesso padrão, entregues junto com o roteador. Esse tipo de informação pode ser facilmente encontrada online.
De acordo com uma pesquisa do Avast feita no segundo semestre de 2018, 43% dos brasileiros nunca acessaram a interface administrativa de seus roteadores para alterar as credenciais de login de fábrica. Ou seja, cerca de 43% estão sujeitos a terem suas redes DNS invadidas por meio do roteador de internet.
Ao descobrir qual marca de roteador um usuário utiliza em sua residência, o hacker pode simplesmente achar o login e a senha pré-definidas de fábrica e acessar o aparelho remotamente após a vítima clicar em um anuncio, link ou site malicioso.
Permaneça em segurança
Simona aconselha que os usuários atualizem frequentemente o firmware (conjunto de instruções operacionais que são programadas diretamente no hardware de equipamentos eletrônicos) do roteador e configurem as credenciais de login do roteador com uma senha complexa.
“O usuário que acredita que o seu roteador está infectado, deve fazer o login na interface administrativa web do roteador e alterar as credenciais de login. Também deve estar sempre atento com a sua conta bancária”, explica a analista. Em casos extremos, é bom contatar um especialista em segurança da informação e as autoridades.
Além disso, Simona recomenda que os usuários tenham cuidado ao visitar sites que solicitem logins, senhas e dados bancários. É importante que o usuário verifique se a página possui um certificado válido. Sites que começam o endereço com https: e possuam um cadeado na barra de URL do navegador são, na grande maioria, confiáveis.
FONTE: INFOMONEY