Pesquisadores da Kaspersky Lab alertam que cibercriminosos estão usando uma técnica que manipula o endereço do servidor DNS para roubar dados de quem se inscreve no movimento “Voluntários para a Venezuela”.
A iniciativa, que já conta com milhares de pessoas cadastradas, de acordo com a imprensa local, é resultado da convocação pública que Juan Guaidó, atual presidente interino da Assembleia Nacional da Venezuela, fez em 10 de fevereiro, solicitando voluntários para contribuírem na ajuda humanitária ao país.
A campanha é legítima e funciona da seguinte maneira: os voluntários se registram em um site e depois recebem instruções sobre como ajudar. O site original pede que os voluntários forneçam nome completo, identificação pessoal, número de telefone celular e se possuem algum certificado médico, um carro ou um smartphone, além de solicitar também a localização de onde moram.
Site legítimo da campanha
Este site apareceu online em 6 de fevereiro deste ano. Apenas alguns dias depois, em 11 de fevereiro, um dia após o anúncio público da iniciativa, outro site quase idêntico apareceu com nome de domínio e estrutura muito parecidos.
Na verdade, o site falso é o reflexo do original, voluntariosxvenezuela.com. Ambos usam SSL do Let’s Encrypt.
A descoberta do golpe aconteceu quando os pesquisadores perceberam que os dois domínios distintos e com proprietários diferentes estão direcionando o tráfego dentro da Venezuela para o mesmo endereço IP, pertencente ao proprietário do domínio falso.
Isso significa que não importa se um voluntário abre a página oficial ou a falsa, pois de qualquer maneira colocará suas informações pessoais em um site fraudulento e estará correndo risco.
Caso o acesso seja realizado de fora da Venezuela, o site oficial direciona o tráfego para um endereço diferente.
Neste cenário, em que os servidores DNS são manipulados, a Kaspersky Lab recomenda enfaticamente o uso de servidores DNS públicos, como os servidores do Google (8.8.8.8 e 8.8.4.4) ou os servidores do CloudFlare e do APNIC (1.1.1.1 e 1.0.0.1). Além disso, recomenda-se utilizar conexões VPN sem um DNS de terceiros. A Kaspersky Lab bloqueia o domínio falso como phishing.
Esta técnica já é utilizada por criminosos brasileiros para roubar dados ao infectar os roteadores domésticos.
Agora eu!
Bom, essa manipulação de DNS não é nenhuma novidade em terras brasileiras, como a própria postagem da Kaspersky Lab comenta. Eu mesmo experimentei tal problema há algum tempo atrás na época do velho Velox de 300 kbps (Alô Oi, não estou reclamando nem falando mal do serviço, só fazendo uma crítica. Embora seus atendentes negassem à época, isso acontecia e vocês sabiam!). Até hoje esse problema ainda existe: o atacante troca o DNS no modem/roteador e aponta pra um monte de página falsa, faz anúncio em um monte de site…
Complica a vida do usuário!
Mas como navegar? Vou ficar trocando ou verificando as páginas que estou acessando a todo o tempo? Sim, a não ser que você tenha alguma solução de antivírus pago que faça essa verificação pra você. Isso é um tanto complicado de se verificar quando não se tem muito conhecimento e as ferramentas que fazem isso estão cada vez mais completas: SSL, cópias idênticas de páginas e tudo mais…
Estou tentando voltar a rotina do blog… Vai demorar, mas vai!
Fonte: Renato Rodrigues – Kaspersky Lab Daily -13/02/2019 – https://www.kaspersky.com.br/blog/dns-malicioso-venezuela/11375/
