Malware contamina routers e redireciona para sites falsos

O router pode ser um dos pontos mais frágeis de uma rede. Muita gente simplesmente ignora a recomendação dos fabricantes e não modifica a senha padrão de acesso aos aparelhos, deixando a porta aberta para criminosos.

Hackers de má fé encontraram formas de usar malware de alteração de Domain Name System (DNS) que podem transformar o mais simples router numa ferramenta para levar a cabo esquemas e campanhas criminosas. Quem deu o alerta foi a Trend Micro, empresa especializada em segurança digital.

O malware é utilizado para mexer com as configurações de DNS do router. Em casos onde os utilizadores tentam aceder a sites bancários legítimos ou outras páginas definidas pelos atacantes, o malware direciona-os para versões maliciosas dos sites citados. Isso permite que os cibercriminosos roubem as credenciais de conta dos utilizadores e as suas senhas.

O Brasil é o país que apresenta o maior número deste tipo de sites maliciosos – 88% do total – seguido por Estados Unidos e Japão.

Com as configurações de DNS alteradas, os utilizadores não sabem se estão a navegar por sites confiáveis ou por cópias deles. Os mais vulneráveis a este tipo de ataque são aqueles que não modificam a configuração padrão dos routers.

Alguns dos sites direcionados observados são adaptados para serviços móveis, o que significa que, uma vez que o router tem as suas configurações de DNS alteradas, todos os dispositivos na sua rede estão expostos a esses ataques, inclusive dispositivos móveis.

Os ataques podem não ser somente limitados a fraudes bancárias online. Eles podem ser perigos iminentes também para a Internet das Coisas (IoT) ou dispositivos inteligentes, pois os criminosos podem facilmente envenenar nomes DNS de autenticação/feedback de websites usados por esses dispositivos e roubar as credenciais dos utilizadores.

Para prevenir esses ataques e outros com foco nos routers, a Trend Micro recomenda que os utilizadores usem senhas fortes para todas as suas contas, modifiquem o IP padrão do router, para que a localização pelo criminoso seja dificultada e, mais importante, desabilitem os recursos de administração remota.

Sem a administração remota, o router só poderá ter as suas configurações modificadas localmente, com uma máquina fisicamente ao lado do aparelho, inviabilizando o golpe. É muito menos cómodo, mas a segurança compensa.

De acordo com a companhia, é uma boa ideia, periodicamente, auditar as configurações DNS do router e prestar atenção às visitas a sites que requerem credenciais, como provedores de e-mail, bancos, etc. Eles todos devem mostrar um certificado SSL válido. Outra ação preventiva é instalar extensões de browser que possam bloquear scripts antes deles serem executados no browser do utilizador, como o NoScript.

*Jocelyn Auricchio é jornalista da B!T no Brasil