Segundo empresa de segurança, criminosos usam e-mails de phishing para lançar ataques de pharming. Maior parte dos casos foi registrada no Brasil.
Um ataque baseado em um e-mail visto recentemente no Brasil empregou uma técnica incomum mas potente para espionar o tráfego de uma vítima na web. A técnica explorava falhas de segurança em roteadores residenciais para ganhar acesso ao console do administrador.
Uma vez lá, os hackers mudam as configurações de DNS (Domain Name System) dos roteadores, um tipo de ataque conhecido como pharming. A empresa de segurança Proofpoint escreveu um post em seu blog nesta semana dizendo que lançar o ataque via e-mail era uma abordagem nova uma vez que o pharming normalmente é um ataque baseado em rede.
A Proofpoint disse que detectou cerca de 100 e-mails de phishing enviados principalmente para brasileiros que usavam roteadores residenciais UTStarcom ou TR-Link. Os e-mails fingiam ser de uma das maiores de telecomunicações do país, a Oi.
O pharming é difícil de ser realizado porque exige acesso a um ISP ou aos servidores DNS de uma organização, que traduz nomes de domínio em endereços IP de sites. Esses sistemas DNS costumam ser bem protegidos, mas o mesmo não acontece com os roteadores residenciais.
“Esse caso chama a atenção por diversas razões, incluindo a introdução do phishing como o vetor de ataque para realizar uma invasão tradicionalmente considerada apenas baseada em rede”, afirmou a empresa, adicionando que o ataque mostrava “a contínua proeminência do e-mail como o vetor de ataque preferido dos cibercriminosos”.
Um ataque de pharming bem-sucedido significa que os usuários podem ser levados para um site fraudulento mesmo que digitem um endereço correto. Também significa que um criminoso pode realizar um ataque man-in-the-middle, como interceptar e-mails, logins e senhas para sites, e “sequestrar” resultados de buscas, entre outras coisas.
Essas mensagens tinham links maliciosos, e clicar em um deles levava a vítima para um servidor que atacava seu roteador. O servidor era configurado para explorar vulnerabilidades CSRF (cross-site request forgery) em roteadores.
Caso o ataque fosse bem-sucedido, os hackers ganhavam acesso ao painel de controle do administrador no roteador. Então eles entravam com as credenciais de login para o aparelho, esperando que o usuários não as tivesse alterado.
Se isso funcionasse, então eles mudavam a configuração do roteador para o seu próprio servidor DNS. Qualquer computador conectado a esse roteador “potencialmente teria seu computador examinar um servidor DNS malicioso para buscar por qualquer hostname na Internet”.
Apesar de os usuários serem dependentes da fabricante do roteador para receber patches de falhas CSRF, existe uma outra defesa, que é um velho conselho de segurança: mude a senha padrão no seu
Fonte: IDGNOW
Nenhum comentário:
Postar um comentário