Ataque executava comandos no roteador de vítimas que, ao tentarem acessar site, eram redirecionadas para página falsa idêntica a original
Um ataque a roteadores pode ter afetado clientes do Bradesco, Santander, PagSeguro, Terra, UOL e Netflix. Cibercriminosos estariam realizando tentativas de ataques de falsificação de solicitação entre sites, atividade conhecida como Cross Site Request Forgery (CSRF).
Os ataques foram identificados em novembro deste ano pela Avast. A empresa de segurança digital diz que cibercriminosos estariam utilizando o ataque para executar comandos sem o conhecimento de usuários. Com isso, eles conseguiriam modificar silenciosamente as configurações de rede e nome de domínio do sistema (DNS) de seus roteadores para que a vítima, ao acessar um site como “netflix.com”, fosse redirecionada para uma página falsa, idêntica a original. O objetivo? Roubar credenciais de acesso e dados bancários.
Leia mais na IT Trends
A Avast explica que um ataque direcionado do tipo CSRF começa quando um usuário visita um site comprometido com publicidade maliciosa (malvertising), que é veiculada em sites populares, usando redes de anúncios de terceiros.
“Nesse caso, os usuários foram redirecionados automaticamente para uma das duas páginas de destino do kit de exploração do roteador, iniciando o ataque ao roteador sem a interação do usuário, fazendo tudo em segundo plano”, diz um comunicado da Avast à imprensa.
Simona Musilová, analista de ameaças da Avast, relata que as páginas de destino continham um link Bit.ly. Segundo a analista, as páginas foram visitadas cerca de 222 mil vezes na segunda quinzena de novembro.
“Não sabemos ao certo a razão dos criminosos utilizarem ‘avast’ no segundo URL, mas suspeitamos que isso tenha ocorrido porque bloqueamos a primeira página de destino… Não há como sabermos se as mais de 200 mil pessoas redirecionadas para as páginas de destino foram protegidas ou não”, explica a analista.
Como explica a empresa, é comum encontrar roteadores com baixo nível de segurança no mercado. As credenciais de segurança, normalmente usadas em roteadores comuns, podem ser facilmente encontradas na internet.
Uma pesquisa de 2018 realizada pela Avast, com mais de 1500 clientes de seus serviços, identificou que 43% dos brasileiros nunca acessam a interface administrativa web de seus roteadores para alterar o login e a senha que já vem de fábrica.
“Esta não é a primeira vez que vimos esses sites como alvos de ataques de CSRF. Eles são escolhidos por serem populares e, em geral, exigem que os usuários façam login ou insiram informações de pagamentos. Depois que os usuários fazem isso, suas credenciais de login e informações de pagamentos vão diretamente para os cibercriminosos, dando a eles o acesso à Netflix e às contas bancárias, por exemplo. Além de alertar seus clientes, o problema é que poucos desses serviços evitam que os usuários sejam vítimas, pois os sites de phishing estão fora de seus domínios”, explica Musilová
No caso do Bradesco, as vítimas que inseriam a URL do site em sua barra de endereços podiam ser redirecionadas para uma versão de phishing do site do banco, onde poderiam “fazer o login” de suas contas.
Assim que o usuário acessava sua “conta falsa”, o site malicioso exibia uma mensagem de erro ou simplesmente agia como se estivesse carregando. Quando os usuários faziam o logoff na versão de phishing, eles eram direcionados para o site real do banco, onde poderiam realmente fazer o login da sua conta.
Já a página de phishing da Netflix, por outro lado, exigia que a vítima entrasse com seu endereço de e-mail e, então, solicitava as informações de cartão de crédito pedindo até mesmo que o usuário fizesse o upload do escaneamento do seu cartão de crédito.
Para prevenir esses tipos de ataque, os usuários devem sempre verificar se a página acessada possui certificado válido e um cadeado na barra URL do navegador.
“Os usuários devem atualizar frequentemente o firmware do roteador para a versão mais recente e configurar as credenciais de login do roteador com uma senha forte. O usuário que acredita que o seu roteador está infectado, deve fazer o login na interface administrativa web do roteador e alterar as credenciais de login. Também deve estar sempre atento com a sua conta bancária”, sugeriu Musilová.
