Saiba como descobrir se você foi vítima deste tipo de ataque conhecido como sequestro de DNS e como garantir a proteção da sua rede. Neste post iremos analisar o que é o sequestro de DNS, como perceber se está a ser afetado por este tipo de ataque e como mitigá-lo.
O que é o sequestro de DNS?
O sequestro de DNS é um tipo de ataque, também conhecido como redireccionamento, em que o atacante consegue alterar os servidores DNS para que as consultas de resolução de nomes sejam resolvidas de forma incorreta e redirijam de forma inesperada os utilizadores para sites maliciosos.
Desta forma, quando o dispositivo da vítima consulta o domínio “example.com”, o DNS malicioso responde com o endereço IP de um site fraudulento, diferente do original, e consegue endereçar a ligação da vítima.
Como um atacante pode alterar o DNS: tipos de ataque
Um atacante pode alterar o DNS de várias maneiras, incluindo: infetar a vítima com código malicioso, assumir o controlo do router de uma rede ou intercetar a comunicação DNS.
Portanto, existem 3 tipos de ataques para redirecionar o DNS:
- Sequestro de DNS local
O atacante consegue comprometer o dispositivo da vítima e altera a configuração DNS local.
- Sequestro do router DNS
O atacante consegue controlar o router da vítima (devido a uma configuração incorreta ou uma vulnerabilidade no router) e reescreve a configuração DNS do dispositivo, afetando todos os utilizadores ligados à rede.
- Ataque MitM DNS
O atacante consegue intercetar a comunicação entre o utilizador e o servidor DNS legítimo, e altera a resposta do servidor com um IP de destino que aponta para um site malicioso.
O principal objetivo deste tipo de ataque é redirecionar a vítima para sites fraudulentos, que são, na sua maioria, phishing, e assim obter nomes de utilizadores, passwords, dados de cartões de crédito e todo o tipo de informação confidencial. Este tipo de ataque também é amplamente usado para redirecionar o utilizador para sites de publicidade ou exibir adware, o que gera um ganho económico para o atacante.
Como perceber se está a ser vítima do sequestro de DNS?
Como o ataque é baseado na alteração do DNS para redirecionar as consultas de nomes para um servidor malicioso, a primeira coisa que pode fazer é verificar quais os servidores que estão a resolver as suas consultas. Uma maneira é verificar a configuração de rede local dos seus dispositivos, mas isso irá dar-lhe poucas informações ou servirá apenas para descartar casos de sequestro local.
No exemplo a seguir, podemos ver a configuração IP de um computador com Windows (a usar o comando ipconfig/all). Aqui, é importante diferenciar o que é o DNS Suffix com os servidores DNS, já que são estes últimos que irão receber as consultas de nomes e devolverão o IP. Por outro lado, o DNS Suffix é usado apenas em redes locais quando consultamos um nome de dispositivo sem especificar um domínio. Ou seja, neste caso, se procurasse sobre o IP do dispositivo “test1” sem esclarecer qualquer domínio, o dispositivo automaticamente entende que está à procura do IP “test1.example.net”.
No entanto, na configuração local do dispositivo raramente vemos realmente qual é o servidor DNS público que está a resolver as nossas consultas, já que normalmente o IP atribuído pela maioria dos DHCPs dos routers domésticos é o próprio router.
Portanto, para verificar se os nossos pacotes DNS estão a ser respondidos por uma fonte confiável, a melhor forma de confirmar isso é fazer uma consulta pública e verificar quais os servidores que estão a responder. Para isso, podemos usar sites de verificação de DNS, semelhantes aos que usamos para descobrir o nosso IP público. Alguns dos sites que os atacantes podem usar são:
DNS Leak Test: Serviço que permite detetar os servidores DNS que estão a responder às suas consultas. É aconselhável realizar o teste mais extenso, que permite descobrir todos os servidores DNS pelos quais a sua consulta está a passar.
What’s my DNS Server: Este serviço é muito simples de usar e, com um clique, você sabe qual o servidor DNS que está a resolver as suas consultas. Além disso, a página informa se o mesmo é fiável ou se foi denunciado como fraudulento.
Que medidas de proteção podemos usar para evitar sermos vítimas?
O primeiro passo é proteger a rede e, para isso, é essencial ter um router seguro, configurado e atualizado corretamente.
Como regra geral, o ideal é ter sempre o controlo do router na nossa rede e, assim, ter a certeza de que ele está configurado de forma segura. O problema ocorre muitas vezes com o dispositivo do fornecedor de serviço de Internet, uma vez que muitos ISPs não informam o utilizador acerca da administração do router ou modem que fornecem. Se este for o seu caso, você tem duas opções, mas em ambas você deve ter o seu próprio router.
A primeira opção, e a mais adequada, é pedir ao seu fornecedor de serviço de Internet para configurar o seu router no modo bridge – o router do fornecedor atribui diretamente ao seu router o IP público que ele usará para navegar na Internet. De seguida, você deve configurar o seu router para fazer a WAN IP dinamicamente e sobrescrever o DNS com alguns de confiança.
A segunda opção, caso a configuração anterior não seja viável, é configurar uma nova rede LAN com seu próprio router. Nesse caso, o seu router terá dois IPs privados, o IP da LAN ao qual o seu dispositivo se ligará e outro IP privado que usará a porta WAN para se comunicar com o router do ISP. Neste caso, é muito importante desativar a função WiFi do router do fornecedor e configurar o DHCP no nosso próprio computador com DNS confiável.
Lembre-se também de usar sempre uma solução de segurança atualizada em todos os seus dispositivos. Uma solução antivírus não só impedirá que o seu computador seja infetado por um código malicioso que possa alterar o DNS, mas também detetará ligações que foram redirecionadas para sites fraudulentos.
[…] Via Eset, Rawinfopages, Windows Club […]