Digital Fraud, Threat Intelligence

Ataques de pharming: a verdade está lá fora

Por Ricardo Maganhati Junior em
COMPARTILHAR

A maioria das dicas e orientações que temos visto a respeito de como se proteger digitalmente (seja você um usuário/administrador corporativo ou não), envolvem utilizar um antivírus atualizado, ter um comportamento de não clicar em links maliciosos, ter um firewall que realize bloqueio de portas, um IDS, etc. Mas e se existir um ataque onde a proteção, em alguns casos, foge do seu controle? Sim, estamos falando do pharming! Servidores DNS maliciosos externos à organização são um desses casos.

 

O que é um servidor DNS?


O protocolo DNS (Domain Name System ou Sistema de Nomes de Domínio) que acompanha os serviços de DNS (como o Bind, por exemplo), faz a tradução de um endereço amigável (www.axur.com.br) para um endereço IP (54.232.245.33). Dessa forma, não precisamos decorar os endereços IP dos sites que queremos visitar. Um endereço IP serve como uma identidade de tudo que está conectado à Internet, e isso inclui o endereço IP da sua conexão e o IP do site que estamos visitando.

 

Ataques de pharming: o que são e como acontecem?


Os ataques direcionados aos servidores DNS existem há muitos anos, com o objetivo de enganar os usuários. Mas como assim “enganar os usuários”?

É aí que entra o Pharming. O pharming é um tipo de ataque que possibilita o redirecionamento do tráfego de um site legítimo para um site falso (controlado pelo atacante). Desta forma, informações sensíveis como nomes de usuário, senhas, dados bancários e outras informações poderão ser roubadas.

Quando você digita umsitequalquer.com.br em seu navegador, alguns processos precisam ocorrem em background antes que a página desejada seja carregada em seu navegador. Esses processos são manipulados pelos atacantes, de forma que as suas requisições – que você pensava estarem indo para o site legítimo – na verdade estão indo para um site falso. 

Normalmente o site falso possui o mesmo visual do legítimo, enganando facilmente as vítimas e fazendo com que elas baixem arquivos de malware em seus notebooks e smartphones e/ou que forneçam informações sensíveis nesses sites.

 

Tipos de ataques de Pharming


Malware

O computador da vítima é infectado com um malware que altera o arquivo hosts de seu sistema operacional (Linux, Mac ou Windows), inserindo o IP de um servidor do atacante ao lado dos domínios já existentes ou incluindo novos domínios já com o IP malicioso ao lado.

Dessa forma, ao digitar um endereço (e pressionar enter) o sistema operacional consultará o arquivo hosts em busca do endereço IP correspondente ao endereço digitado – neste caso, o IP do servidor do atacante – e normalmente carregará um site falso bastante similar ao autêntico.


DNS Poisoning (Envenenamento de DNS)

Após explorar vulnerabilidades no sistema de DNS, o ataque “sequestra” os servidores e redireciona todo o tráfego para servidores maliciosos. Normalmente, servidores de DNS mantidos por operadoras de telefonia que fornecem Internet para usuários e empresas são os mais visados, devido à quantidade de vítimas em potencial – que podem ser milhares!

Ah, e ainda o roteador (normalmente é o da operadora e que possui wi-fi) da sua residência pode ser um vetor do ataque, já que ele armazena em cache o nome dos sites (e seus respectivos IPs) visitados anteriormente pelos dispositivos que estão (ou estiveram) conectados na sua rede wifi. Um malware criado especificamente para infectar estes dispositivos pode alterar os IPs dos sites visitados que estão em cache (gravados no disco) para os de servidores que não são legítimos.


Rogue DNS

Um Rogue DNS ou DNS Trapaceiro é basicamente é um servidor DNS falso. Ele faz a mesma coisa que um servidor legítimo, que é realizar a tradução de nomes de domínio para endereços IPs. Mas a grande diferença aqui é que ele pode traduzir os endereços que são digitados no navegador para IPs de servidores maliciosos.

A maioria dos usuários, corporativos ou domésticos, pode depender de servidores DNS que são atribuídos automaticamente por seus provedores de Internet (ou operadoras de telefonia). Computadores e servidores infectados por malwares alteram as suas configurações de DNS de forma que o IP de DNS que seria atribuído pelo provedor de Internet "dê lugar" ao DNS malicioso do atacante.

Roteadores de Internet (como aquele da operadora que você tem na sua casa ou na empresa) também podem ter os IPs de servidores de DNS alterados para os que são controlados pelos atacantes.

Um malware que explora alguma vulnerabilidade de firmware para alterar os endereços IPs dos sites visitados para IPs de sites maliciosos também poderá alterar o IP de DNS que é atribuído automaticamente pela operadora de telefonia para os IPs de DNS maliciosos.

Em vários casos,  os usuários utilizam o IP do roteador como um servidor de DNS para poderem navegar. Se o roteador estiver infectado e ele for o DNS padrão da rede, automaticamente todo o tráfego de Internet será direcionado para um Rogue DNS que fará a resolução de nomes de domínio para IPs falsos.

 

Como se proteger contra o ataque de pharming


Para o ataque de pharming malware, é importante que você:

  • Crie uma senha forte para o roteador da sua rede. E NUNCA USE a senha padrão que está escrita na parte de baixo do equipamento. Ataques em larga escala contra roteadores domésticos normalmente têm como foco equipamentos que utilizam senha e usuários padrão;
  • Utilize um gerenciador de senha. Especificamente você precisará de um gerenciador de senhas (LastPass, por exemplo) que preencha automaticamente os campos de usuário e senha quando você estiver acessando uma página de login. Um site falso pode parecer verdadeiro após uma rápida olhada, mas um gerenciador de senhas não pode ser enganado tão facilmente. Ao acessar o site incorreto, o gerenciador de senhas pode não o reconhecer e, assim, não preencherá automaticamente os campos com suas credenciais;
  • Utilize um bom programa antimalware. Ataques de phishing (sites falsos) não são um tipo de malware de computador e os antivírus tradicionais podem não te proteger contra eles, mas um antimalware avançado poderá bloquear o malware que tenta alterar o arquivo hosts de seu computador, bem como bloquear sites suspeitos resultados de um DNS Poisoning;
  • Utilize outro servidor de DNS. Os usuários e empresas não podem fazer nada para impedir que um ataque de DNS Poisoning aconteça, pois cabe às empresas (como as operadoras de telefonia) que oferecem o serviço de DNS manter seus sistemas seguros. Por outro lado, alternativas populares, como o Google DNS, OpenDNS e Cloudflare, podem ser escolhidas como o DNS padrão de sua conexão e assim você garante maior segurança e privacidade ao navegar na Internet.
  • Oriente seus clientes e proteja a presença digital da sua marca: esses canais maliciosos devem ser caçados a todo o instante, já que cibercriminosos estão sempre atuando e compartilhando técnicas entre si. Uma boa pedida é usar ferramentas de monitoramento que encontrem os locais de hospedagem dos ataques para removê-los com rapidez e, claro, sempre alertar clientes sobre boas práticas de segurança - hoje, transparência é tudo!
event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Ricardo Maganhati Junior

Profissional de Ethical Hacking e Cybersecurity formado pela UNICIV, com experiência em Pentest, resposta a incidentes, segurança digital e conscientização em segurança da informação. Além disso, gosto de escrever e repassar meu conhecimento para as outras pessoas. O conhecimento deve ser livre!