Os falsos sites fazem parte de uma estratégia do crime cibernético organizado para desviar o tráfego de grandes empresas como a Netflix e dos principais bancos.
Só este ano, a Avast já bloqueou mais de 4,6 milhões de tentativas de redirecionar usuários a sites mal-intencionados. Essas ameaças fazem parte de uma tática dos cibercriminosos para desviar o tráfego de sites como a Netflix e grandes bancos.
Os ataques conhecidos como falsificação de solicitação entre sites (CSRF) são usados pelos cibercriminosos para executar comandos sem o conhecimento dos usuários. Esses ataques modificam silenciosamente as configurações do DNS (Sistema de Nomes de Domínio) dos usuários e os redirecionam de um endereço (URL) autêntico para um site falso, onde então eles são alvo de ataques de phishing e de criptomineração, ou mesmo de ataques por anúncios maliciosos (malvertising).
Você pode ler mais (em inglês) sobre os aspectos técnicos desses ataques no novo blog de tecnologia dos Laboratórios de Ameaças da Avast: o Decoded.
O sequestro de DNS está levando a ataques de phishing
Normalmente, um ataque de CSRF ao roteador é iniciado quando um usuário visita um site comprometido com publicidade maliciosa (malvertising), veiculada em sites legítimos por redes de anúncios terceirizadas que foram comprometidas.
O Avast frequentemente detecta as infecções por malvertising em sites brasileiros que hospedam conteúdo adulto, filmes ilegais ou conteúdo esportivo. Ao visitar um site comprometido, a vítima é redirecionada para uma página maliciosa. Então o seu roteador é automaticamente atacado sem que seja necessária nenhuma interação do usuário.
O malware adivinha facilmente as senhas dos roteadores, pois as pesquisas da Avast mostram que com frequência são senhas fracas. Em alguns casos, o roteador é reconfigurado para usar os servidores DNS dos invasores. Estes por sua vez redirecionam as vítimas para páginas de phishing que se parecem muito com sites bancários online reais. Mais recentemente, a Netflix se tornou um campo fértil para os sequestradores de DNS.
Os dados da Avast mostram que os sites mais frequentemente sequestrados pertencem às seguintes empresas ativas no Brasil:
- Santander (24%)
- Bradesco (19%)
- Banco do Brasil (13%)
- Itaú BBA (13%)
- Netflix (11%)
- Caixa Econômica Federal (10%)
- Serasa Experian (10%)
“As instituições afetadas são visadas porque são populares em seus países. O problema é que elas podem fazer muito pouco para evitar serem vítimas, além de alertar seus clientes, já que os sites de phishing estão fora dos seus servidores (domínios)”, disse David Jursa, analista de Inteligência de Ameaças na Avast.
Anúncios maliciosos e ataques de criptomoedas
Além dos ataques de phishing, os cibercriminosos usam o sequestro de DNS para substituir anúncios legítimos por outros mal-intencionados. Por exemplo, os cibercriminosos podem sequestrar plataformas de anúncios, como a Outbrain, que pode ser integrada a sites para veicular anúncios aos seus visitantes. Se o endereço do servidor da plataforma de anúncios for comprometido dentro do roteador dos usuários, eles verão anúncios maliciosos, por exemplo, para induzi-los a baixar outros malwares ou direcioná-los para sites com conteúdo ilegal.
Os pesquisadores de ameaças da Avast também viram criminosos cibernéticos usarem o sequestro de DNS para executar scripts de criptomineração maliciosos nos navegadores dos usuários. As máquinas das vítimas são abusadas e mineram criptomoedas, o que pode levar a um aumento na conta de luz e diminuir o tempo de vida útil dos dispositivos.
Como se proteger?
David Jursa recomenda aos consumidores que examinem as páginas da internet que visitam e protejam suas redes domésticas. “Os usuários devem ter cuidado ao visitar o site de um banco ou da Netflix, por exemplo, e verificar se a página tem um certificado válido, verificando também se existe um cadeado de segurança na barra de endereços do navegador. Além disso, os usuários devem atualizar frequentemente o firmware do roteador e configurar as credenciais de login do seu roteador com uma senha forte”.
Descubra se o seu roteador está infectado com o recurso Verificador de Wi-Fi que faz parte do Avast Free Antivírus e de todas as versões pagas dos antivírus da Avast. Os produtos Avast também incluem o Módulo Internet, uma proteção robusta contra os ataques CSRF.