OI: Problema Relacionado a DNS "Banker" Atinge Várias Partes do Brasil

Possibilidade de Ataque do Tipo "Man-in-the-Middle"



Links de Interesse:





Muitas pessoas relataram, desde o último mês de maio, um problema sério em relação a uma entrega de DNS proveniente da operadora de telecomunicações "OI". Agora, parece que este problema ganhou mais força pois neste último dia 12 de agosto, foram registradas várias reclamações de que o endereço "http://66.228.60.253/x.html" estaria aparecendo em praticamente todos os sites que utilizam o protocolo "http". A problemática inicial, gira em torno de que muitos usuários estariam recebendo direto da base de servers da Oi, um servidor de DNS secundário com o IP 173.255.134.206, e ao que tudo indica, não se resume a um único estado ou região, e sim, abrange várias partes do Brasil. As reclamações são originárias do Rio de Janeiro, Minas Gerais, Pernambuco, dentre outros estados.De acordo com informações prestadas em maio, o DNS primário é o 201.10.128.2 e o secundário é o 201.10.128.3. Entretanto, devido a esta alteração ocorrida, o DNS secundário passou a ser 173.255.134.206.Conforme as devidas apurações realizadas, o IP 173.255.134.206 é de propriedade da UK2.net, que disponibiliza serviços relacionados a servidores virtuais/dedicados no varejo. Além disso, o tal IP 173.255.134.206, que é o falso DNS secundário, estaria fazendo uma modificação nos endereços do Banco do Brasil e quando alguém acessasse a página do banco, seria direcionado para uma página maliciosa, que certamente tem a intenção de roubar informações bancárias de suas possíveis vítimas.Pelas características da ação, parece tratar-se de um ataque do tipo "Man-in-the-Middle", que para os que não conhecem, é uma modalidade de investida maliciosa que visa roubar dados bancários. O atacante coloca suas armadilhas entre suas vítimas e sites de alta relevância, como os sites de instituições bancárias e outras instituições que atuam no setor financeiro. Nesse caso, o Banco do Brasil foi quem recebeu uma "atenção especial". Esse ataque pode ter sido orquestrado por um insider, ou seja, alguém de dentro da própria Oi em fortíssima conivência com um cybercriminoso, que nesta situação, seria um "banker", já que a atividade visa a captura de dados bancários.Há também a possibilidade da rede da operadora em questão ter sofrido um sério comprometimento, e devido a uma enorme facilidade de acesso aos servidores, foi possível modificar o DNS secundário para entregá-lo aos clientes. Portanto, se alguém que seja cliente de um outro banco acessar o site da sua instituição bancária e notar anormalidade idêntica a que ocorre no acesso ao site do Banco do Brasil, por gentileza, envie seu relato para que haja mais informações com referência a essa investida nefasta.- Under-Linux Foruns https://under-linux.org/showthread.php?t=181394 - DNS "Banker" https://eng.registro.br/pipermail/gt...ay/055306.html