Empresa sugere que usuários mudem senhas padrões para evitar problemas
Quando você usa um roteador geralmente há uma senha padrão básica e simples, tipo 123mudar ou nem isso. Então, deixar essa senha é um prato cheio para invasões. O ideal é você trocar logo após a instalação do aparelho em casa. A dica que dou e todo especialista também informa é bem simples: senha de 16 caracteres ou mais com números, letras e caracteres especiais como um “!”. Use um misto de letras maiúsculas e minúsculas também.
Mas qual o motivo do alerta da Avast desta vez? A empresa garante que bloqueou mais de 4,6 milhões de tentativas de ataques de falsificação de solicitações entre sites (CSRF – Cross-Site Request Forgery) no Brasil este ano, até o momento. Os cibercriminosos usam ataques CSRF para realizar comandos sem o conhecimento das pessoas, podendo neste caso, modificar de forma imperceptível as configurações de DNS dos usuários para realizar ataques de phishing e mineração de criptomoedas, ou ataques por meio de anúncios mal-intencionados. Os kits de exploração de roteadores conhecidos e utilizados para atacar roteadores brasileiros são GhostDNS, golpe Novidade e, em abril de 2019, a Avast detectou o SonarDNS.
Normalmente, um ataque CSRF de roteador é iniciado quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), a qual é exibida usando redes de anúncios de terceiros no site. De acordo com a assessoria de imprensa, a Avast frequentemente observa infecções por malvertising em sites brasileiros que hospedam conteúdo adulto, filmes ilegais ou esportes. Ao simplesmente visitar um site comprometido, a vítima já é redirecionada para uma página de destino com um kit de exploração do roteador. Na sequência, um ataque é automaticamente iniciado em seu roteador, sem a interação do usuário, em segundo plano.
Os kits de exploração podem atacar com sucesso um roteador, pois muitos deles são protegidos por senhas fracas. Primeiramente, eles tentam encontrar o IP do roteador na rede e, em seguida, tentam adivinhar sua senha aplicando várias credenciais de login. Abaixo, confira a lista das principais credenciais que os kits de exploração tentam utilizar:
admin:admin
admin: (sem senha)
admin:12345
Admin:123456
admin:gvt12345
admin:password
admin:vivo12345
root:root
super:super
O primeiro termo é o login básico e o segundo é a senha padrão. Como se vê, é tudo muito simples, básico. Um convite a um ataque.
Como uma das consequências, o roteador é reconfigurado para usar servidores DNS desonestos, que redirecionam as vítimas para páginas de phishing que se parecem muito com sites bancários online reais. Recentemente, a Netflix se tornou um domínio popular para os sequestradores de DNS. Mas os dados da Avast apontam que são os sites de organizações bancárias em operação no Brasil os principais alvos.
“As instituições afetadas são visadas porque são populares e o problema é que pouco podem fazer para prevenir as vítimas, além de alertar seus clientes, já que os sites de phishing estão fora de seus domínios”, disse David Jursa, analista de Inteligência de Ameaças da Avast.
Vivo
Falamos com a assessoria de imprensa da Vivo, pois dois das senhas citadas fazem referência a Vivo e GVT (empresa comprada pela Vivo). Segundo estudo da Avast, a senha “gvt12345”, por exemplo, sugere que hackers estão tendo a empresa como alvo. Outra senha muito usada é “vivo12345”. Tudo pertencente a Telefônica no Brasil. Logo, os clientes da Vivo precisam ficar atentos e realizar a troca da senha do roteador o quanto antes.
A empresa brasileira informa que sempre orienta todos seus clientes, desde o momento da instalação do modem, a alterarem a senha de acesso para garantir a segurança de sua rede Wi-Fi. “Para saber como fazer a alteração de senha, o usuário deve acessar o site, selecionar o modem desejado e clicar em equipamento. A informação sobre a mudança de senha consta também no welcome kit distribuído junto com o aparelho, no ato da instalação do serviço. Para verificar o modelo do modem, o cliente deve consultar a etiqueta que está na parte inferior do aparelho”, afirmou a empresa via nota.
Roteadores ameaçados
Confira abaixo a lista de roteadores que são os alvos primários dos ataques no Brasil:
TP-Link TL-WR340G
TP-Link WR1043ND
D-Link DSL-2740R
D-Link DIR 905L
A-Link WL54AP3 / WL54AP2
Medialink MWN-WAPR300
Motorola SBG6580
Realtron
GWR-120
Secutech RiS-11/RiS-22/RiS-33
Conseguimos o contato da D-Link que nos respondeu sobre a situação de seus produtos citados no estudo. De acordo com a empresa, eles sempre defendem e divulgam a seus clientes a necessidade de configuração de seus produtos e atualização da versão de firmware para que esses problemas sejam evitados. “Temos contato diretamente com a Vivo e com certeza manteremos a empresa informada sobre a situação dos produtos e atualizações necessárias”, encerram nota enviada para o blog.
Anúncios maliciosos
Além do phishing, os cibercriminosos usam o sequestro de DNS para substituir anúncios legítimos por anúncios mal-intencionados. Por exemplo, os cibercriminosos podem sequestrar plataformas de anúncios, como a Outbrain, que pode ser integrada com sites para exibir anúncios para seus visitantes. Caso o endereço do servidor da plataforma de anúncios seja sequestrado no roteador, o usuário verá anúncios maliciosos para induzi-lo a baixar mais malware, por exemplo, ou direcioná-lo para sites não solicitados e com conteúdo obscuro ou ilegal.
Adicionalmente, os pesquisadores de ameaças da Avast também viram cibercriminosos usarem o sequestro de DNS para enviar scripts maliciosos de mineração de criptomoedas no navegador do usuário, de modo que os seus dispositivos sejam usados para minerar moedas digitais, o que pode elevar as despesas com energia e reduzir o ciclo de vida dos equipamentos.
Proteja-se
“O usuário deve ter cuidado ao visitar o site do seu banco ou seu perfil da Netflix e verificar se a página tem um certificado válido, um cadeado na barra de URL do navegador. Além disso, os usuários devem atualizar com frequência o firmware do roteador, para a versão mais recente e configurar as credenciais de login com uma senha forte”, comenta David Jursa.
Como mudar a senha do roteador
Luis Corrons, evangelista da Avast, informa que 43,17% dos brasileiros nunca logaram no administrador do roteador para tentar mudar a senha. Outros 14,39% até acessaram a página, mas não quiseram trocar a senha. Ele reforça a necessidade do acesso e da mudança da senha padrão que deve ter ao menos 16 caracteres com letras maiúsculas e minúsculas e números, além de caracteres especiais como “!”, por exemplo.
Mas como acessar a página de administração do roteador? Corrons orienta:
1 – Acesse a página
Para mudar as credenciais acesse a página através do browser, o seu navegador através dos seguintes endereços: 192.168.1.0 ou 192.168.1.1.
2 – Siga os passos
No documento do roteador (pode encontrar na caixa do produto ou baixando o pdf no site da marca escolhida) há passos bem detalhados de como fazer o acesso já inclusive com o login e a senha padrão. Após acessar a página é só ir para o campo de modificação de senha e pronto.
Além de uma postura de acesso com cuidado, indo a páginas seguras e conhecidas, é vital, especialmente em computadores/notebooks com sistema operacional Windows que você tenha um antivírus. Procure um de confiança e que tenha qualidade e comprovada, baixe, instale e o mantenha atualizado na sua máquina.
