Utilidade pública: estão invadindo seu modem/roteador? Saiba como proceder para prevenir

postado em: Comunicação, Tecnologia | 1

Pela quarta vez desde agosto deste ano é que tenho notado alterações na minha conexão com a Internet. Sou cliente da GVT e uso o modem ADSL D-Link 500B. Foi então que resolvi ir a fundo no assunto e me deparei com uma invasão ao sistema do modem. De repente, páginas como Twitter, Terra e até o Google são redirecionadas para sites com malwares. Simplesmente os sites originais não aparecem.

07-googledefence-620

Ao desconfiar das anormalidades, resolvi verificar o computador. Para minha surpresa, mesmo usando três ferramentas diferentes, não foi encontrado pragas na máquina, que roda Windows 7. Aliás, testei a conexão com um notebook novo, ligado ao 500B (somente o notebook conectado), e para minha surpresa, acontecia o redirecionamento para os sites falsos.

Desconfiei do modem. Resolvi verificar as configurações. Para minha surpresa, a senha de acesso ao gerenciamento do modem estava alterada. Tive que resetá-lo para acessar a interface administrativa. Ao impor as configurações de fábrica do equipamento, toda conexão foi reestabelecida e os sites voltaram a ficar acessíveis.

No entanto, ao investigar a questão, notei que não era um problema isolado. Conheço mais dois clientes GVT, aqui em São Leopoldo e em Tubarão, SC, com modem e roteador da D-Link que estavam sofrendo com o mesmo problema. Para minha surpresa, começaram a pipocar reportagens em sites especializados. Sugiro que leiam essa do IDG Now! e do Gizmodo.

Ao que tudo indica, conforme minha pesquisa, é uma soma de fatores. Uma vulnerabilidade na rede das operadoras de telefonia, vulnerabilidade nos modems e roteadores de algumas marcas e o apoio de funcionários das próprias teles, no caso GVT e Oi, que estariam supostamente envolvidos nas tentativas fraudes. A meta, conforme minha apuração, é que este golpe esteja sendo utilizado para captura de dados bancários por uma quadrilha especializada. A pessoa acessa o site falso, que pede que se faça o download de um arquivo executável, que nada mais é do que um programa malicioso. O português ou inglês mal escrito denuncia o golpe logo de cara.

A Oi e GVT, procuradas pelo jornalista, não responderam ao contato. A D-Link também não se manifesta sobre o caso.

Bom, que atitudes tomar?

Pesquisando em fóruns e sites especializados, resolvi compilar uma série de medidas preventivas.

Primeiramente, mude a senha de administração do seu modem e roteador. No caso do meu modem D-Link, e isso serve para outros equipamentos da marca, confira no manual o endereço para acesso à interface, que é via navegador. Geralmente é pelo IP 192.168.1.254 ou 10.1.1.1, que deve ser digitado na barra de endereços do browser, como se fosse acessar um site. Ele vai solicitar uma senha. Se a senha de fábrica não foi mudada, ela estará no manual o equipamento. Na interface administrativa, acesse Management>Access Control>Passwords. Mude os passwords para o usuário Admin e se possível, usuário Support. Coloque uma senha com oito ou mais dígitos, mais difíceis de serem quebradas. Intercale com caracteres e números.

Caso não consiga vencer essa etapa, você pode ter digitado a senha errada ou simplesmente seu equipamento pode ter sido atingido pela prática fraudulenta. Será necessário então resetá-lo, que em geral é feito por acionamento de um minúsculo botão na traseira do equipamento por meio de um clips desdobrado.

Em alguns roteadores, há também o chamado serviço TR-69 (Technical Report 069), que é uma espécie porta de acesso da operadora de telefonia para efetuar alterações no seu equipamento. Desabilite essa opção, se possível. A localização dentro da interface administrativa depende do modem ou roteador. Em alguns, como é meu caso, não há essa alternativa.

Outra questão é a alteração dos servidores DNS, já que o golpe aplicado se trata de envenenamento de cache DNS do modem/roteador, redirecionando para os sites maliciosos. Desabilite a adoção automática do servidor DNS da operadora de telefonia e adote serviços alternativos de DNS. Um exemplo, altere para usar o Google DNS. No D-Link, vá em Advanced Setup>DNS Server e desabilite a opção Enable Automatic Assigned DNS. Insira nos dois campos abaixo, Primary DNS server e Secondary DNS server, os IPs 8.8.8.8 e 8.8.4.4, respectivamente. Salve e reinicie o equipamento no menu Manegement>Save/Reboot.

Espalhe

Espero que esse post ajude muitos usuários na busca de uma solução para este problema. Não sou especialista em redes, mas entendo razoavelmente bem. Se alguém tiver alguma outra solução ou crítica a fazer, estou aberto a recebê-las. Em relação ao uso de DNS alternativos, há controvérsias quanto às vantagens, por isso, se trata de uma solução paliativa. Há suspeitas (e inclusive funcionários de empresas de telefonia presos pela Polícia Federal) de que o golpe tenha partido de dentro das empresas, com manipulação dos servidores DNS, que são os servidores responsáveis pela tradução dos nomes da Internet para os endereços IP (númericos). Lembrando, claro, que as empresas não têm qualquer ligação com a prática ilícita e inclusive acabam sendo prejudicadas por estes “trabalhadores” querendo tirar vantagem da clientela.

Se você leu e gostou, por favor, divulgue esse post como forma de colaborar com mais usuários a ter uma Internet segura.

Uma resposta

  1. Ola amigo,
    O mesmo esta acontecendo comigo. No começo quando tentava acessar alguns sites ele redirecionava para outro site estranho, então resetei o modem e tudo havia voltado ao “normal”… Até que um dos meus vizinhos com quem compartilho a rede me alertou que o impecílio continuava, resetei novamente o modem e refiz algumas configuração desabilitando a telnet, modificando a senha do admin com 15 caracteres diferentes envolvendo letras, números e caractere especial, coloquei para somente o ip reservado final 10.1.1.6 acessar a configuração do modem, mas infelizmente nesta noite passada dia 17/11/11, voltou o problema de redirecionamento e novamente minha senha foi alterada. Já não sei mais o que fazer por ultimo tentarei desativar a opção do TR-69 sugerida aqui e em caso de mais um fracasso trocarei de modem, pois já li que esses problemas estão acontecendo mais com os modens da Dlink, o 500b 1 e 2.
    Obrigado pela força Gabriel.