[caiu] Santander!?

Fabio Catunda fcatunda em lightcomm.com.br
Terça Fevereiro 7 20:52:23 BRST 2012 

Caros,

Obrigado pelas respostas.

Inicialmente o que me chamou muita atenção foi o fato do browser me dar 
esta mensagem ao acessar:
This is probably not the site you are looking for!
You attempted to reach www.santander.com.br, but instead you actually 
reached a server identifying itself as a248.e.akamai.net. This may be 
caused by a misconfiguration on the server or by something more serious. 
An attacker on your network could be trying to get you to visit a fake 
(and potentially harmful) version of www.santander.com.br. You should 
not proceed.

Pois bem, tendo mais de um link de acesso aqui na empresa, inclusive com 
DNSs distintos, resolvi trocar o proxy do meu browser e recebi a mesma 
mensagem.

Resolvi então dar uma varrida nos meus servidores DNS para ver se era só 
dentro da minha rede que ocorria alguma resolução de nome que apontava 
para o lugar errado, ai vão meus "digs":
$ dig +short www.santander.com.br @192.168.5.124 (este usa como 
forwarder o 200.169.208.2)
santander.com.br.edgesuite.net.
a1621.w26.akamai.net.
63.218.95.80
63.218.95.113

No google:
dig +short www.santander.com.br @8.8.8.8
santander.com.br.edgesuite.net.
a1621.w26.akamai.net.
65.120.60.34
65.120.60.16

São respostas relativamente parecidas, mas com IPs bem distintos.

Eu realmente não me sei de cabeça quais são os IPs do Santander, mas 
achei que havia algo estranho no site.

Ao acessar pelo browser reparei que são feitas algumas consultas 
estranhas na barra de tarefas do próprio browser, consultas por "proxy 
tunnel" ou algo parecido, porém, não encontrei tais tentativas de acesso 
no log do proxy (estranho)

Achando isso tudo muito estranho, resolvi ligar no "super linha" para 
cancelar qualquer cartão ou acesso, então bateu o desespero completo, a 
gravação da URA dizia uma ou duas opções e então a bela mensagem "caso 
tenha reparado alguma movimentação estranha em sua conta, entre em 
contato com seu gerente". Bom, me ferrei!

Agora ainda estou tentando ligar naquela meleca, mas pelo visto todas as 
linhas estão ocupadas e não sou atendido nunca, a chamada fica 
simplesemente muda.

Não sei se é normal, mas ao acessar o site www.santander.com.br sou 
direcionado diretamente para 
http://www.santander.com.br/pages/portal/home_pf.htm
Esta página não está me parecendo a página normal do Santander, mas não 
sei afirmar com certeza o que está de errado.

Enfim, resolvi mandar a mensagem para a lista para ver se alguém mais 
estava achando algo estranho.

Att,

Fábio Catunda.



Depois no Google:


On 07-02-2012 20:12, Victor Benincasa wrote:
> Fábio, seja mais específico, o que está estranho? Por aqui aparentemente
> tudo ok, e estou usando o DNS do Google.
>
> Uma possibilidade é sua máquina estar comprometida.
>
> Abraço,
>
> Victor Benincasa
>
>
> On 7/2/2012 20:01, Fabio Catunda wrote:
>> Caros,
>>
>> O Santander está completamente hackeado ou são só os servidores DNS 
>> que eu uso (incluindo o do Google)!?
>>
>> Mais alguém reparou algo muito estranho ao acessar o site?
>>
>> Obrigado,
>>
>> Fábio Catunda.
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu

Mais detalhes sobre a lista de discussão caiu