GhostDNS: O que é essa nova ameaça?

Tempo de Leitura: 5min

Escrito por admin

Em 17 de October de 2018

Imagine um ataque hacker que consiga invadir mais de 100 mil roteadores pelo mundo (a maioria deles localizado no Brasil). Os malfeitores conseguem enganar pessoas que tentam acessar mais de 50 sites de internet banking, streaming de vídeos, e-mail e muitos outros – e com isso, roubam dados bancários e outras informações importantes. Parece história do Black Mirror, não é? Mas trata-se da verdade. 

A ameaça é real e tem nome: GhostDNS. Hackers invadiram milhares de roteadores e modificaram as configurações DNS para enganar os usuários com phishing. Os cibercriminosos foram espertos e mudaram o direcionamento apenas para as páginas que interessavam a eles – as de bancos, principalmente. Um malware instalado nos aparelhos era o responsável por interceptar o tráfego e envia-lo para onde os hackers desejassem.

Pesquisadores chineses estimam que dentre os 100 mil roteadores afetados, 87,6% estavam no Brasil. A brecha de segurança foi notada entre os dias 21 e 27 de setembro.

Como funciona o GhostDNS?

O ataque acontece da seguinte maneira: o GhostDNS faz uma busca ativa pela internet para encontrar IPS de roteadores com senhas fracas ou sem nenhuma proteção. Ao encontrar seus potenciais alvos, o malware os invade, mudando as configurações dos servidores DNS para que o roteador seja direcionado para os sites falsos criados para roubar os dados das vítimas. Portanto, toda vez que alguém digitar o endereço do site do banco, por exemplo, em vez de ser levado à página real, irá parar em uma armadilha. Ali, os criminosos roubam logins e senhas, para depois usar essas informações ou vendê-las. Além de bancos, os 50 endereços afetados incluíam serviços como o Netflix, entre outros.

Para ter acesso às senhas dos aparelhos, os hackers usam três módulos: Shell DNSChanger, Js DNSChanger e PyPhp DNSChanger. E o que eles fazem? Sua função é tentar ter acesso às senhas e ao firmware dos roteadores. De acordo com os pesquisadores, esse ataque é bastante forte. Um desses módulos consegue roubar a senha de 27 modelos de roteadores e usa 69 scripts para fazê-lo. Marcas famosas como Intelbras, Multilaser e TP-Link foram afetadas. Veja a seguir a lista dos modelos que podem ter sofrido o ataque GhostDNS.

  • AirRouter AirOS
  • Antena PQWS2401
  • C3-TECH Router
  • Cisco Router
  • D-Link DIR-600
  • D-Link DIR-610
  • D-Link DIR-615
  • D-Link DIR-905L
  • D-Link ShareCenter
  • Elsys CPE-2n
  • Fiberhome
  • Fiberhome AN5506-02-B
  • Fiberlink 101
  • GPON ONU
  • Greatek
  • GWR 120
  • Huawei
  • Intelbras WRN 150
  • Intelbras WRN 240
  • Intelbras WRN 300
  • LINKONE
  • MikroTik
  • Multilaser
  • OIWTECH
  • PFTP-WR300
  • QBR-1041 WU
  • Roteador PNRT150M
  • Roteador Wireless N 300Mbps
  • Roteador WRN150
  • Roteador WRN342
  • Sapido RB-1830

 

Como saber se você foi afetado?

A olho nu, não é fácil perceber se você foi vítima do GhostDNS. Mas, é claro, existem maneiras de saber se você foi afetado. A primeira coisa que você precisa saber é quais servidores DNS estão sendo usados pelo dispositivo. Como dissemos, o ataque redireciona seu roteador para sites falsos. Por isso, é necessário verificar se algum servidor DNS desconhecido está sendo usado. Como fazer isso? É simples. No Windows, aperte a tecla Windows e R ao mesmo tempo. A caixa “executar” será aberta. Digite “cmd” e aperte OK. Uma janela de comando de prompter se abrirá. Nela, digite “ipconfig/all” e, sem seguida, pressione Enter. Você verá uma resposta do sistema. Na parte do texto que diz “Servidores DNS” estarão listados os usados pelo seu computador. Compare essa lista com a seguinte lista de padrões:

  • 192.168.x.x
  • 10.x.x.x
  • 8.8.8.8
  • 8.8.4.4
  • 1.1.1.1
  • 1.0.0.1
  • 9.9.9.9
  • 149.112.112.112
  • 208.67.222.222
  • 208.67.220.220
  • 4.2.2.1
  • 4.2.2.2
     

O que fazer se for afetado?

Caso você descubra que foi vítima do GhostDNS, pode se proteger e evitar que os hackers continuem tendo acesso a seus dados. Será necessário resetar o aparelho para suas configurações de fábrica, justamente para impedir que os criminosos tenham controle do roteador. Para fazer isso, procure um botão, que geralmente fica escondido, chamado “reset”.

Basta apertá-lo e segura-lo por alguns segundos. Em seguida, será necessário reconfigurar sua rede. Siga as dicas abaixo (em “Como se prevenir?”) para fazê-lo de maneira segura. Você também pode resetar o roteador usando as configurações, acessando-as diretamente pelo endereço do roteador (veja como fazer isso abaixo). Basta ir na opção “Ferramentas do Sistema”, depois em “Factory Defaults”, e em “Restore”. 

Como se prevenir?

Para não ser invadido pelo GhostDNS, você pode tomar algumas medidas preventivas. Em primeiro lugar, é preciso usar uma senha forte em seu roteador. É preciso criar senhas difíceis, que não contenham dados pessoais (como datas de aniversário). Hackers usam muitos robôs para tentar descobrir senhas. Procure formar senhas complexas, adicionando uma barreira de proteção contra fraudes. Dica: opte por “passphrases” (frases) em vez de “passwords” (palavras simples). Neste caso, uma boa saída é usar frases que façam sentido para você, com cada palavra começando com letra maiúscula. Além disso, não se esqueça de mudar o login do seu roteador. A grande maioria dos aparelhos vem com “admin” definido de fábrica.

É importante também manter o firmware atualizado sempre. As empresas costumam trabalhar para manter seus produtos seguros e essas atualizações deixam seus equipamentos protegidos contra ameaças conhecidas (e que podem causar muitas dores de cabeça). Uma outra medida possível é usar um Firewaal de DNS. Esses programas protegem a rede mesmo que o roteador seja comprometido e o DNS tenha sido reconfigurado.

Outra medida que ajuda a evitar problemas com o ataque GhostDNS é desativar o acesso remoto ao roteador. Dessa maneira, você impede que alguém de fora da rede consiga fazer alterações. Para fazer isso, entre no endereço do roteador usando um navegador. Geralmente, essa informação está numa etiqueta colada no próprio aparelho ou no manual de instruções. Vá em “Segurança”, depois em “Gerenciamento remoto” ou, em inglês “Security”, em seguida “Remote management”. Onde estiver indicado o IP “255.255.255.255”, mude para “0.0.0.0”.

Você também pode gostar de…

Congresso decide que LGPD vale para 2020, mas dúvidas permanecem
Congresso decide que LGPD vale para 2020, mas dúvidas permanecem

Em abril, o Congresso mudou a vigência da Lei Geral de Proteção de Dados. Em vez de agosto de 2020, a implementação passaria para janeiro de 2021. Em seguida, o presidente Jair Bolsonaro publicou a Medida Provisória 959/2020, adiando a vigência da lei ainda mais, para...

LGPD é adiada para maio de 2021. O que muda para a sua empresa?
LGPD é adiada para maio de 2021. O que muda para a sua empresa?

Após o Senado adiar a implementação da Lei Geral de Proteção de Dados (LGPD), uma medida provisória assinada pelo presidente Jair Bolsonaro em 29 de abril estende ainda mais o prazo — adiando a LGPD para 3 de maio de 2021. Ou seja, as empresas terão nove meses a mais...

Panorama Fast Help –  4 de Maio
Panorama Fast Help – 4 de Maio

Este é o Panorama FastHelp, seu resumo semanal com tudo o que acontece de mais importante sobre Tecnologia da Informação e Cibersegurança no Brasil. Confira nossos principais destaques:  Ataques e segurança Criminosos seguem se aproveitando do desespero causado...

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

Entre em contato conosco

You have Successfully Subscribed!

PROMOÇÃO KASPERSKY PARA EMPRESAS DA SAÚDE

Nossa parceira Kaspersky está com uma iniciativa para proteger quem trabalha com saúde nesse momento de crise. Estamos com diversas soluções para a segurança do ambiente digital com um preço especial.


CONTATO

You have Successfully Subscribed!

Política de Privacidade

Este site usa cookies para fornecer seus serviços e melhorar sua experiência no site. Ao utilizar nosso portal, você concorda com o uso de cookies e nossa política de privacidade.

You have Successfully Subscribed!