Clientes da GVT e da Oi sofrem ataque hacker!
Na semana passada Hackers conseguiram envenenar o DNS de duas das maiores operadoras de Banda Larga brasileiras a Oi e a GVT, com isso conseguiram redirecionar os usuários das duas operadoras para sites que pareciam legítimos, mas que continham códigos maliciosos que pediam para ser instalados para por exemplo poder navegar no Google.
A descoberta foi feita pelo pessoal do famoso antivírus russo Kaspersky que teve seus fóruns oficiais lotados de mensagens de usuários brasileiros querendo saber o porquê de o computador deles estar pedindo para fazer download de certos arquivos (evidentemente maliciosos) toda vez que tentavam entrar em algum site.
A resposta veio rápido e a Kaspersky constatou o envenenamento do DNS das operadoras de Banda Larga brasileiras Oi e GVT, mas já era tarde para quem eventualmente executou um desses arquivos maliciosos no computador os estragos já haviam sido feitos.
Para evitar que ataques desse tipo aconteçam novamente e atinjam você a melhor solução é não usar o DNS padrão da operadora de Banda Larga, mas sim utilizar um DNS que esteja preparado para esse tipo de investida criminosa como é o caso do OpenDNS, Google Public DNS, Norton DNS, Comodo Secure DNS ou Clear Cloud DNS.
Via SECURELIST, G1, Gizmodo, Tecnoblog, Gemind.
Só agora entendi o que foi que aconteceu com vários blogueiros amigos meus.
Isso aconteceu com muitos usuários das duas operadoras, mas muita gente ainda não sabe que foi isso, é bom divulgar e dizer para os clientes das referidas operadoras a mudarem os seus DNSs, abçs!
Cara, informação totalmente equivocada … pelo menos quanto a GVT. O DNS da GVT não poderia ter sido envenenado, por ser da Nominum, simplesmente o mais seguro que existe.
Verificando alguns sites sobre o problema foi fácil verificar que o problema ocorreu não com o DNS, mas com as CPEs dos usuários, principalmente os modelos da D-Link e Huawei. Eles aparentemente possuem uma falha onde a porta 80 fica aberta no lado WAN, mesmo que na interface esteja marcado como “fechado”. Como os usuários e senhas padrão de acesso aos modems normalmente não são alterados, bastou um SQL injection pelo lado WAN, alterando o servidor DNS configurado no modem, para um outro qualquer que estivesse envenenado.
Quer solução? Troque o DNS no modem e a senha do administrador do modem.
Ah, mas podem haver outras falhas … coincidência ou não os modelos que apresentam mais problemas são os com chipset Broadcom … provável falha então no chipset ou no Kernel do sistema operacional.
melhor ainda seria trocar o modem por outro de uma marca mais confiável, como Intelbras (pode parecer brincadeira, mas são os melhores que já testei), Linksys, TP-Link.
Fui …