sábado, 9 de abril de 2011

Roubado pelo DNS!



Eu venho regularmente acompanhando os Relatórios de Ameaças e Vulnerabilidades na Internet feito pela Symantec. Isso me fez lembrar de uma história que me deixou muito preocupado. Esta história é real e deve servir de alerta para cada um de nós. Não sou especialista em segurança, mas tenho interesse real nestes assuntos seja para me proteger melhor ou para conhecer um pouquinho mais.




Isto aconteceu com um amigo que é super cuidadoso com o uso de Internet Banking. Ele tem conta no Bradesco, que por sua vez tem um aparato muito sofisticado de segurança. O Bradesco, além das senhas normais e habituais, tem uma conferência extra de dados baseado em “frase secreta”. Não é uma palavra, mas uma frase com pelo menos 25 caracteres. Como não tenho conta no Bradesco, se algum detalhe estiver incorreto, agradeço colaborações e correções. Ele só faz transações a partir do computador da empresa em que ele trabalha. Ele é super cauteloso e, além disso, trabalha em informática. Conhece os e-mails “phishing” que circulam por aí. Enfim não é uma pessoa desavisada, muito pelo contrário! Não bastasse isso tudo ele é ex sargento da aeronáutica (preciso explicar mais?). Um belo dia sua conta foi raspada até última gota! Um DOC enviado de sua conta para uma outra conta do Banco do Brasil limpou todo o dinheiro existente e também todo o valor do limite de cheque especial. Uma catástrofe! Cheques que estavam para compensar começaram a ser devolvidos. Faltou dinheiro para o dia a dia… um inferno! O Bradesco foi muito burocrático, mas muito correto neste episódio. Depois de muitos dias, cancelamento dos cartões de débito, muitos formulários, muita espera, muita “cadeira”, ele teve o seu dinheiro de volta. No meio da “briga” ele não conseguiu obter do Bradesco subsídio para ir atrás do beneficiário do DOC para uma agência do Banco do Brasil. Incrível mas o banco disse que nada podia fazer. Ele tinha os dados do “vigarista”, ou seria de um “laranja”, e nada pode fazer.




 Mas a grande dúvida é : como ele uma pessoa tão esclarecida e tão cuidadosa sofreu este golpe??? Como os “amigos do alheio” se apropriaram de seus dados??? Até algumas semanas atrás eu não teria nem ao menos uma teoria. Após ler algumas coisas sobre o assunto e conversar com algumas pessoas eu posso teorizar sobre o ocorrido e arriscar uma explicação. Partindo sempre do princípio que ele não foi vítima de “phishing” (não foi mesmo) e que seu computador não tinha nenhum tipo de Spyware. Isto foi verificado por inúmeros programas e pelo definitivo jeito que é olhar no REGISTRY a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e procurar por qualquer programa desconhecido. Eu uso muito isso e pesquiso no site para descobrir se algum programa na inicialização da máquina é normal ou maligno.




Concluindo, existe um tipo de ataque muito diferente e muito sutil. Os e-mails “phishing” que induzem a pessoa a abrir um site falso e preencher os seus dados já começam a ficar manjados. Os “hackers”, “punks”, “crackers”, “marginais”, dêem o nome que quiserem, inventaram um tipo de ataque aos servidores DNS!!! 



Explicando rapidamente, quando se digita www.bradesco.com.br um servidor DNS, ou de seu provedor de acesso, ou de sua empresa (se esta tem um) traduz este nome para um IP. No caso do Bradesco este IP seria 200.212.135.225. Mas o cyber-marginal invade o servidor de DNS e por algum tempo cria uma entrada particular de DNS fazendo com que o endereço www.bradesco.com.br aponte para outro IP. Que IP?? Para o IP onde um site de mentira, idêntico ao do banco foi montado e por sua vez imita a seqüência de telas do banco capturando suas informações!!! Algumas horas depois ou no dia seguinte ele apaga esta entrada do DNS invadido e elimina o rastro de seu crime. Dá trabalho, sim dá. Mas uma pessoa que está esperando ser enganada por um e-mail com um endereço falso acaba nem pensando nesta possibilidade e como ela mesma digita no browser o endereço nunca imagina que está sendo enganado pelo DNS!!!


Isso é muito sério. É quase paranóico!! Como ter certeza de que o site que estou acessando é mesmo o site desejado??Tenho um amigo que me deu uma sugestão. Usando sites de bancos, ele SEMPRE digita de propósito as informações erradas. Se o site não reclamar, não negar a autenticação provavelmente ele está “grampeado”. Caso contrário o banco perceberá o erro e alertará o usuário. Estranho, mas é o que ele faz para se proteger...


O que você acha? Você está preparado e alerta contra este tipo de ataque e ameaça?? Mantenha seu antivírus sempre em dia!!

PS : este texto foi originalmente publicado em minha sessão de colunas no site FORUMPCs 

2 comentários:

  1. Tenho 23 anos, sou estudante universitário usuário de Mac e Windows. Utilizo computadores desde criança e nunca tive problemas com virus, muito menos phishing, que considero, perdão da palavra, um pega-bobo. A experiência da a malícia necessária para navegar.
    Mas um dia, isso já deve ter mais de 6 meses, entrando no site do Banco Real, comecei a notar que o site estava estranho, mas segui o procedimento, preenchi agência, conta, digitei a senha no teclado virtual e só quando o site me pediu todas os números daquele cartão de senhas percebi que estava em um endereço falso. Lembro de conferir o histórico do navegador e constar literalmente www.real.com.br
    Na época fiquei meio sem entender o que tinha acontecido, pois estava em um mac e confio muito na segurança dessas máquinas. Acredito que possa ter ocorrido o que disse, hack de DNS, pois no dia seguinte o site era acessado normalmente. Realmente difícil de detectar tal tipo ameaça....

    ResponderExcluir
  2. Caro Gustavo muito legal o seu depoimento. Corrobora a história que contei. Um perigo, né??
    Por isso mesmo que quis contar para todos para alertá-los!!

    ResponderExcluir