Como é possível que os usuários percam centenas de dólares em transferências bancárias online anormais se todos os seus dispositivos têm um software de segurança instalado?
No ano passado, o usuário Y, localizado no Brasil, perdeu R$ 600 reais (US$ 191,02, em 30 de janeiro de 2017) como um efeito colateral de roubo de informação. Ao descobrir isso, Y imediatamente chamou um técnico de TI para encontrar a causa raiz. O técnico originalmente disse que o incidente ocorrido com Y teria origem em um site falso. Mas como não foi encontrado nenhum malware nos dispositivos conectados à rede, ele então avaliou as configurações do roteador doméstico. Ele encontrou algo interessante: apesar do roteador doméstico não expor nenhuma interface de gerenciamento remoto à internet, as configurações de DNS foram modificadas. Como solução, o técnico de TI resetou e reconfigurou o roteador doméstico para impedir que os cibercriminosos realizassem novas transferências bancárias.
Em outro caso, o usuário X notou que R$ 3.000 (US$ 955,11, a partir de 30 de janeiro de 2017) haviam sumido de sua conta em janeiro de 2016. Seu roteador doméstico também havia sido infectado por um malware malicioso que muda o DNS. Mas, em vez de sites bancários, os cibercriminosos a redirecionaram para páginas falsificadas de sites de terceiros usados por bancos, como o Google Adsense™ e JQuery.
Os roteadores geralmente têm configurações inseguras que os tornam suscetíveis a ataques de malware semelhantes aos casos reais que apresentamos acima. Por um lado, existem falhas de segurança no sistema operacional, firmware e aplicativos de web dos roteadores. Os atacantes podem simplesmente usar essas vulnerabilidades como pontos de entrada para comprometer ainda mais a rede doméstica. Na verdade, existem algumas ferramentas e sites que os cibercriminosos usam para encontrar roteadores vulneráveis e obter exploits para seus ataques. Abaixo há um exemplo de tal site:
Credenciais predefinidas em roteadores podem fazer com seja ainda que roteiros baseados na web contornem os mecanismos de autenticação de dispositivos e permitem que os cibercriminosos realizem ataques de força bruta. Os roteiros baseados na web são uma tática eficaz para se infiltrar em roteadores. Outra falha de segurança são características de administração remota no firmware do roteador que os cibercriminosos podem abusar para que funcionem como “backdoors embutidos.” Isto poderia levar a uma infinidade de problemas: execução remota do código, configurações do roteador modificadas para redirecionar para páginas de phishing ou maliciosas, e ataques indiretos, entre outros. Os fornecedores devem se certificar de encontrar e remover essas backdoors em seus produtos antes que os atacantes façam uso delas.
Roteadores domésticos são seguros?
É fácil negligenciar a segurança do roteador em um ambiente doméstico, já que a maioria dos ataques contra roteadores domésticos são casos isolados ou tem um efeito muito mínimo na banda larga do usuário. A menos que um usuário sofra ataques como os mencionados acima, a segurança do roteador é a menor das preocupações do usuário. Esse tipo de mentalidade pode se tornar problemático daqui para frente. Os usuários domésticos precisam entender que os roteadores domésticos funcionam como uma porta de entrada e saída de sua casa. Toda a informação proveniente da Internet precisará passar por ele. Os roteadores são propriedade privada e qualquer forma de falha de segurança é uma forma de invasão. Algumas ameaças contra roteadores se aproveitam de suas comunicações com dispositivos conectados para até mesmo tornar os usuários domésticos cúmplices involuntários das atividades do cibercriminoso.
O caso em questão, o botnet Mirai se aproveitou de dispositivos da Internet das Coisas desprotegidos para diferentes ataques no ano passado. Quando o código-fonte foi divulgado em um fórum de hackers, vimos novas estirpes de Mirai surgirem no cenário. As entidades afetadas, como pequenas e médias empresas (PMEs), podem precisar lidar com a interferência nos negócios, danos à reputação ou até mesmo perdas na produtividade e de lucro.
O Mirai usa uma lista predefinida de credenciais padrão para infectar dispositivos. Sabendo isto, é essencial que os usuários domésticos alterem as senhas do roteador. Esta medida pode fornecer uma camada adicional de segurança. Como mencionamos em nossa Previsões de Segurança para 2017, a probabilidade de ameaças como o Mirai serem usadas em ataques distribuídos de serviço negado (DDoS) pode aumentar este ano, por isso é necessário se prevenir.
Além de clientes de botnets, outras ameaças como rootkits, que especificamente infectam o Linux, também podem ser perigosas para roteadores. A fraude de Voz sobre o IP (VoIP), que explora o serviço de telefonia em roteadores, podem gerar encargos adicionais nas contas de telefone ou internet de um usuário.
