De acordo com a empresa de segurança Radware, alguns donos de roteadores foram levados a um site falso do Banco do Brasil graças a uma falha de segurança. A ameaça buscava adquirir os dados do usuário e afetou centenas de roteadores no Brasil.

Confira abaixo a lista com os roteadores afetados – lembrando que a falha só é presente para aqueles que não tiveram o seu firmware atualizado nos últimos dois anos.

• D-Link DSL-2740R
• D-Link DSL-2640B
• D-Link DSL-2780B
• D-Link DSL-2730B
• D-Link DSL-526B
• Shuttle Tech ADSL Modem-Router 915 WM.

A execução do sequestro de dados foi bem articulada e de acordo com a empresa de segurança responsável por ter encontrado a falcatrua, os hackers conseguiram alterar remotamente as configurações dos roteadores para que eles usassem um servidor DNS malicioso. Com isso, ao tentar entrar no site do Banco do Brasil, em bb.com.br, o usuário era levado a um site clonado e sem nenhum vínculo com o banco.

Esse DNS também redirecionava acessos com destino ao site do banco Itaú, mas de acordo com a empresa, até então o site deste banco não havia sido clonado. Para todos os outros endereços, o DNS malicioso funcionava de forma normal e aparentemente redirecionava corretamente ao endereço requisitado.

Como estava associado ao roteador, o golpe era efetivo para qualquer dispositivo conectado à rede infectada e uma das maneiras do usuário perceber a ameaça era através do navegador web, que avisava que “sua conexão não é privada” no caso de acessos utilizando o protocolo HTTPS. No caso das tentativas de acesso utilizando o protocolo HTTP, o navegador aceitava o redirecionamento sem emitir nenhum alerta.

Com operação totalmente voltada para o Brasil, a atividade maliciosa foi desmascarada (digitalmente, pelo menos) ao tentar se aproveitar da falha em “honeypots” (“potes de mel” em tradução direta), que são simulações que propositalmente apresentam falhas de segurança e tem como objetivo atrair invasores e coletar as suas informações.

Esses “honeypots” da Radware localizados no Brasil conseguiram detectar, do dia 8 ao dia 10 de junho, cerca de 500 tentativas de acesso, enquanto que outros “potes de mel” da empresa localizados ao redor do mundo não receberam uma sequer tentativa. Reforçando o foco dos bandidos no nosso país, que provavelmente tomaram essa atitude para se manterem “abaixo do radar”.

Ao tentar acessar o endereço do BB, o usuário com o roteador comprometido era redirecionado a uma página falsa da instituição financeira e lá, eram requisitadas inicialmente informações como agência, conta e senha de oito dígitos.

Após ter fornecido as informações iniciais, o usuário era levado a outra tela, onde inseria o seu número de celular, senha do cartão e senha do atendimento telefônico (CABB) – praticamente todos os dados necessários para conseguir efetuar transações bancárias de qualquer tipo.

De acordo com Pascal Geenens, um dos pesquisadores da Radware, a empresa de segurança informou os bancos envolvidos e a operadora OVH, que era responsável por hospedar o servidor DNS malicioso e consequentemente o site falso do BB.

Agora, como o serviço montado pelos hackers foi desativado, os usuários afetados terão que redefinir suas configurações de DNS manualmente, ou não conseguirão acessar normalmente a internet. Recomendamos o uso de serviços DNS confiáveis, como o do Google, que é o 8.8.8.8, ou do Cloudfare, que é 1.1.1.1.