Últimas notícias

Fique informado

GhostDNS: O que é essa nova ameaça?

21 de abril de 2019

Imagine um ataque hacker que consiga invadir mais de 100 mil roteadores pelo mundo (a maioria deles localizado no Brasil).

Os malfeitores conseguem enganar pessoas que tentam acessar mais de 50 sites de internet banking, streaming de vídeos, e-mail e muitos outros – e com isso, roubam dados bancários e outras informações importantes. Parece história do Black Mirror, não é? Mas trata-se da verdade.

A ameaça é real e tem nome: GhostDNS. Hackers invadiram milhares de roteadores e modificaram as configurações DNS para enganar os usuários com phishing.

Os cibercriminosos foram espertos e mudaram o direcionamento apenas para as páginas que interessavam a eles – as de bancos, principalmente. Um malware instalado nos aparelhos era o responsável por interceptar o tráfego e envia-lo para onde os hackers desejassem.

Pesquisadores chineses estimam que dentre os 100 mil roteadores afetados, 87,6% estavam no Brasil. A brecha de segurança foi notada entre os dias 21 e 27 de setembro.

Como funciona o GhostDNS?

O ataque acontece da seguinte maneira: o GhostDNS faz uma busca ativa pela internet para encontrar IPS de roteadores com senhas fracas ou sem nenhuma proteção. Ao encontrar seus potenciais alvos, o malware os invade, mudando as configurações dos servidores DNS para que o roteador seja direcionado para os sites falsos criados para roubar os dados das vítimas. Portanto, toda vez que alguém digitar o endereço do site do banco, por exemplo, em vez de ser levado à página real, irá parar em uma armadilha. Ali, os criminosos roubam logins e senhas, para depois usar essas informações ou vendê-las. Além de bancos, os 50 endereços afetados incluíam serviços como o Netflix, entre outros.

Para ter acesso às senhas dos aparelhos, os hackers usam três módulos: Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger. E o que eles fazem? Sua função é tentar ter acesso às senhas e ao firmware dos roteadores. De acordo com os pesquisadores, esse ataque é bastante forte. Um desses módulos consegue roubar a senha de 27 modelos de roteadores e usa 69 scripts para fazê-lo. Marcas famosas como Intelbras, Multilaser e TP-Link foram afetadas. Veja a seguir a lista dos modelos que podem ter sofrido o ataque GhostDNS.

  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Roteador PNRT150M
  • Roteador Wireless N 300Mbps
  • Roteador WRN150
  • Roteador WRN342
  • Sapido RB-1830

Como saber se você foi afetado?

A olho nu, não é fácil perceber se você foi vítima do GhostDNS. Mas, é claro, existem maneiras de saber se você foi afetado. A primeira coisa que você precisa saber é quais servidores DNS estão sendo usados pelo dispositivo. Como dissemos, o ataque redireciona seu roteador para sites falsos. Por isso, é necessário verificar se algum servidor DNS desconhecido está sendo usado. Como fazer isso? É simples. No Windows, aperte a tecla Windows e R ao mesmo tempo. A caixa “executar” será aberta. Digite “cmd” e aperte OK. Uma janela de comando de prompter se abrirá. Nela, digite “ipconfig/all” e, sem seguida, pressione Enter. Você verá uma resposta do sistema. Na parte do texto que diz “Servidores DNS” estarão listados os usados pelo seu computador. Compare essa lista com a seguinte lista de padrões:

  • 192.168.x.x
  • 10.x.x.x
  • 8.8.8.8
  • 8.8.4.4
  • 1.1.1.1
  • 1.0.0.1
  • 9.9.9.9
  • 149.112.112.112
  • 208.67.222.222
  • 208.67.220.220
  • 4.2.2.1
  • 4.2.2.2

O que fazer se for afetado?

Caso você descubra que foi vítima do GhostDNS, pode se proteger e evitar que os hackers continuem tendo acesso a seus dados. Será necessário resetar o aparelho para suas configurações de fábrica, justamente para impedir que os criminosos tenham controle do roteador. Para fazer isso, procure um botão, que geralmente fica escondido, chamado “reset”.

Basta apertá-lo e segura-lo por alguns segundos. Em seguida, será necessário reconfigurar sua rede. Siga as dicas abaixo (em “Como se prevenir?”) para fazê-lo de maneira segura. Você também pode resetar o roteador usando as configurações, acessando-as diretamente pelo endereço do roteador (veja como fazer isso abaixo). Basta ir na opção “Ferramentas do Sistema”, depois em “Factory Defaults”, e em “Restore”.

Como se prevenir?

Para não ser invadido pelo GhostDNS, você pode tomar algumas medidas preventivas. Em primeiro lugar, é preciso usar uma senha forte em seu roteador. É preciso criar senhas difíceis, que não contenham dados pessoais (como datas de aniversário). Hackers usam muitos robôs para tentar descobrir senhas. Procure formar senhas complexas, adicionando uma barreira de proteção contra fraudes. Dica: opte por “passphrases” (frases) em vez de “passwords” (palavras simples). Neste caso, uma boa saída é usar frases que façam sentido para você, com cada palavra começando com letra maiúscula. Além disso, não se esqueça de mudar o login do seu roteador. A grande maioria dos aparelhos vem com “admin” definido de fábrica.

É importante também manter o firmware atualizado sempre. As empresas costumam trabalhar para manter seus produtos seguros e essas atualizações deixam seus equipamentos protegidos contra ameaças conhecidas (e que podem causar muitas dores de cabeça). Uma outra medida possível é usar um Firewaal de DNS. Esses programas protegem a rede mesmo que o roteador seja comprometido e o DNS tenha sido reconfigurado.

Outra medida que ajuda a evitar problemas com o ataque GhostDNS é desativar o acesso remoto ao roteador. Dessa maneira, você impede que alguém de fora da rede consiga fazer alterações. Para fazer isso, entre no endereço do roteador usando um navegador. Geralmente, essa informação está numa etiqueta colada no próprio aparelho ou no manual de instruções. Vá em “Segurança”, depois em “Gerenciamento remoto” ou, em inglês “Security”, em seguida “Remote management”. Onde estiver indicado o IP “255.255.255.255”, mude para “0.0.0.0”.

Fonte: FastHelp

Sobre a FastHelp

Fundada em 2003, com sede em Brasília/DF e presente em todo território nacional, a Fast Help oferece soluções líderes de mercado no segmento de Segurança da Informação e Infraestrutura de Rede e Telecomunicações.

Com foco no mercado corporativo, a empresa conta com vasta experiência de atendimento a clientes dos segmentos público e privado, abrangendo ambientes de pequeno, médio e de grande porte. Agregamos ao nosso portfólio diversas certificações reconhecidas no mercado (ISO 9001:2008, ISO 14000), bem como especialistas em todas as linhas de produtos e serviços.