Início > Ars Physica > Fraude eletrônica no Net Virtua – cuidado ao acessar sites bancários no Net Virtua

Fraude eletrônica no Net Virtua – cuidado ao acessar sites bancários no Net Virtua

domingo, 12 abr 2009; \15\UTC\UTC\k 15 Deixe um comentário Go to comments

Um dos endereços de DNS do Net Virtua sofreu um ataque de DNS Cache Poisoning e está fazendo com que os usuários desse DNS sejam redirecionados a sites fraudulentos quando tentam acessar suas contas bancárias do Bradesco.

O problema foi reportado por  Walrus no seu blog do Stoa – http://stoa.usp.br/walrus/weblog/47454.html e eu confirmei aqui que de fato está ocorrendo esse problema com um dos DNS da Net. O problema não é com todos os DNS no entanto.

Para entender o que está acontecendo é preciso entender como funciona o sistema de endereçamento na WWW. Cada site na internet está armazenado em um computador e cada computador possuí um endereço que permite identificá-lo na rede. Esse endereço é chamado ”Endereço IP” e é uma sequência de quatro números. Por exemplo, o site  de busca do Google está localizado no endereço IP 64.233.163.103 (entre outros).

Entretanto, para fazer uma boa interface com usuários humanos que não querem decorar números, foi criada a URL – Universal Resource Locator – que é esse endereço que você escreve no seu navegador favorito (internet explorer ou firefox). Por exemplo, o URL do site de busca do Google é http://www.google.com .

Você já deve ter percebido que é preciso alguém que diga para o seu navegador qual é o endereço IP  que está associado com o URL que você digitou. Esse cara é o servidor DNS – Domain Name System. O DNS é um computador que tem um banco de dados onde ele associa URL’s e endereços IP de forma a informar o seu navegador em qual computador ele deve apontar para abrir o site que você pediu. Quando você conecta na internet normalmente se conecta automaticamente a um DNS do seu provedor de internet para resolver essas URL’s.

O que aconteceu é que alguém alterou definições de um dos servidores DNS do provedor Net Virtua e associou a URL que costumava apontar para o site do Bradesco (www.bradesco.com.br) para um IP de um computador que contém uma cópia do site do Bradesco. Nesse site eles requisitam uma série de dados e provavelmente salvam em seu banco de dados para usar depois de forma maliciosa.

A recomendação é que não seja usado nenhum site bancário se você usa o Net Virtua. Por enquanto só estamos sabendo de um DNS que foi atacado e apenas um banco que foi alvo desse ataque. Mas não se pode saber como a coisa está de verdade e é melhor esperar que essas instituições se manifestem dizendo que está tudo bem.

Enfim. De forma geral, tome cuidado com o tipo de informação que você compartilha em sites na internet. Se tiver duvidas sobre as informações que o site do seu banco está requisitando, não continue. Pare imediatamente e ligue para o SAC do seu internet banking perguntanto se é normal que site exija essas informações.

Em breve eu vou colocar um post com mais detalhes técnicos  e imagens do site fraudulento no meu blog  do Stoa e coloco um edit com o link aqui.

EDIT:

Mais detalhes sobre o problema e o site falso  http://stoa.usp.br/calsaverini/weblog/47466.html

Até esse momento (meia-noite e cinco, 13/abril/2009) 0 DNS que está envenenado continua de pé  e servindo o IP errado para o site do Bradesco.

Tentamos ligar na NET e no Bradesco, mas nenhum dos dois possuem serviços de atendimento adequados para receber esse tipo de report e nada parece ter sido feito até o momento pela NET.

Espalhem a notícia.

EDIT 2:

Aparentemente o problema foi corrigido no DNS afetado. Entretanto o Walrus, que reportou o problema em primeiro lugar encontrou relatos anteriores de poisoning nos servidores do Virtua. Isso significa que não é seguro usar o DNS do Virtua. O melhor é apelar para um servidor seguro e bem feito de DNS como o Open DNS (www.opendns.com). Isso resolve a coisa definitivamente.

Um gostinho amargo fica por duas razões:

1 – A NET não tem um sistema adequado de segurança para o serviço que presta e parece que ninguém está preocupado.

2 – Não há um canal decente de comunicação entre usuários mais avançados e o departamento técnico dos provedores de internet para que esse tipo de problema seja passado. Os atendentes do SAC não estão preparados para receber esse tipo de relatório de falha de segurança que precisa ser imediatamente passado para a área técnica.

No fim das contas: use o Open DNS, não importa qual seja o seu provedor. A verdade é que nenhum serviço desses presta.

Categorias:Ars Physica
  1. segunda-feira, 13 abr 2009; \16\UTC\UTC\k 16 às 10:11:04 EST

    Só pra deixar uma alternativa pra quem não sabe direito como se proteger desse tipo de problema,

    OpenDNS.

    Eu, pessoalmente, uso OpenDNS e costumo recomendá-lo, principalmente em situações onde o usuário não tem controle (ou um bom conhecimento) sobre o DNS que usa (o que é verdade pra qualquer um usando um “Serviço Provedor de Internet”😉 ).

    Mais genericamente, esse tipo de ataque é conhecido como “well poisoning” (‘envenenamento do poço’, onde se usa ‘poço’ como metáfora pro ‘cache’ — vejam o link que o Rafael passou, logo no começo desse post, pra “DNS cache poisoning”) e não é muito complicado de se prevení-lo. Mas, infelizmente, o que a gente descobre cada vez mais, é o quão incompetente alguns desses provedores de serviço de Internet são — sofríveis mesmo. (Até porque, configuração e segurança de DNS não tem nada de absolutamente mágico… cair num ‘well poisoning’ é demais…😥 )

    Aliás, é no intuito de evitar esse tipo de “problema” com a administração e segurança do provedor, que eu recomendo o OpenDNS: em primeiro lugar, os caras sabem o que estã fazendo (muito provavelmente, melhor do que os fulanos do seu provedor😛 ); e sem segundo lugar, diversificar esse tipo de serviço é sempre uma boa idéia do ponto-de-vista de segurança.
    😈

    []’s.

  2. Rogerio da Silbeira
    sábado, 14 mar 2015; \11\UTC\UTC\k 11 às 19:33:30 EST

    eo problema que você denunciou em 2009, esta novamente ocorrendo em 2015, ou seja nada fazem para nos protege.

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: