Roubado pelo DNS!

Há algumas semanas eu havia falado sobre o relatório de ameaças e vulnerabilidades na internet feito pela Symantec.( ). Na ocasião não pude contar duas histórias que me deixaram muito preocupado. São duas histórias reais e que devem servir de alerta para cada um de nós. Não sou especialista em segurança, mas tenho interesse real nestes assuntos seja para me proteger melhor ou para conhecer um pouquinho mais.
[singlepic id=7164 w=320 h=240 float=]
O primeiro “causo” é de um amigo que é super cuidadoso com o uso de Internet Banking. Ele tem conta no Bradesco, que por sua vez tem um aparato muito sofisticado de segurança. O Bradesco, além das senhas normais e habituais, tem uma conferência extra de dados baseado em “frase secreta”. Não é uma palavra, mas uma frase com pelo menos 25 caracteres. Como não tenho conta no Bradesco, se algum detalhe estiver incorreto, agradeço colaborações e correções. Ele só faz transações a partir do computador da empresa em que ele trabalha. Ele é super cauteloso e, além disso, trabalha em informática. Conhece os e-mails “phishing” que circulam por aí. Enfim não é uma pessoa desavisada, muito pelo contrário! Não bastasse isso tudo ele é ex sargento da aeronáutica (preciso explicar mais?). Um belo dia sua conta foi raspada até última gota! Um DOC enviado de sua conta para uma outra conta do Banco do Brasil limpou todo o dinheiro existente e também todo o valor do limite de cheque especial. Uma catástrofe! Cheques que estavam para compensar começaram a ser devolvidos. Faltou dinheiro para o dia a dia… um inferno! O Bradesco foi muito burocrático, mas muito correto neste episódio. Depois de muitos dias, cancelamento dos cartões de débito, muitos formulários, muita espera, muita “cadeira”, ele teve o seu dinheiro de volta. No meio da “briga” ele não conseguiu obter do Bradesco subsídio para ir atrás do beneficiário do DOC para uma agência do Banco do Brasil. Incrível mas o banco disse que nada podia fazer. Ele tinha os dados do “vigarista”, ou seria de um “laranja”, e nada pode fazer.
[singlepic id=7578 w=320 h=240 float=]
Mas a grande dúvida é : como ele uma pessoa tão esclarecida e tão cuidadosa sofreu este golpe??? Como os “amigos do alheio” se apropriaram de seus dados??? Até algumas semanas atrás eu não teria nem ao menos uma teoria. Após ler algumas coisas sobre o assunto e conversar com algumas pessoas eu posso teorizar sobre o ocorrido e arriscar uma explicação. Partindo sempre do princípio que ele não foi vítima de “phishing” (não foi mesmo) e que seu computador não tinha nenhum tipo de Spyware. Isto foi verificado por inúmeros programas e pelo definitivo jeito que é olhar no REGISTRY a chave HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun e procurar por qualquer programa desconhecido. Eu uso muito isso e pesquiso no site para descobrir se algum programa na inicialização da máquina é normal ou maligno.
[singlepic id=7580 w=320 h=240 float=]
“A Teoria” : existe um tipo novo da ataque muito diferente e muito sutil. Os e-mails “phishing” que induzem a pessoa a abrir um site falso e preencher os seus dados já começam a ficar manjados. Os “hackers”, “punks”, “crackers”, “marginais”, dêem o nome que quiserem, inventaram um tipo de ataque aos servidores DNS!!! Explicando rapidamente, quando se digita www.bradesco.com.br um servidor DNS, ou de seu provedor de acesso, ou de sua empresa (se esta tem um) traduz este nome para um IP. No caso do Bradesco este IP seria 200.212.135.225. Mas o cyber-marginal invade o servidor de DNS e por algum tempo cria uma entrada particular de DNS fazendo com que o endereço www.bradesco.com.br aponte para outro IP. Que IP?? Para o IP onde um site de mentira, idêntico ao do banco foi montado e por sua vez imita a seqüência de telas do banco capturando suas informações!!! Algumas horas depois ou no dia seguinte ele apaga esta entrada do DNS invadido e elimina o rastro de seu crime. Dá trabalho, sim dá. Mas uma pessoa que está esperando ser enganada por um e-mail com um endereço falso acaba nem pensando nesta possibilidade e como ela mesma digita no browser o endereço nunca imagina que está sendo enganado pelo DNS!!!
Isso é muito sério. É quase paranóico!! Como ter certeza de que o site que estou acessando é mesmo o site desejado??Tenho um amigo que me deu uma sugestão. Usando sites de bancos, ele SEMPRE digita de propósito as informações erradas. Se o site não reclamar, não negar a autenticação provavelmente ele está “grampeado”. Caso contrário o banco perceberá o erro e alertará o usuário.
O que você acha, teria sido isso que aconteceu??
O outro “causo” eu contarei em uma próxima coluna a ser publicada. Senão esta ficará muito grande, né?
**************************************
acrescentado em 12/06/2005
O Homem errado – a continuação desta coluna
***************************************