[caiu] [OFF] DNS fake

César de Tassis Filho ctassisf em gmail.com
Sexta Setembro 18 20:10:28 BRT 2015


Prezado,

Esse tipo de golpe infelizmente é bastante comum e está documentado na
Cartilha de Segurança do CERT.br em Golpes -> Pharming (veja no link [0]).

O ideal, nesse caso, é reportar o incidente diretamente para o contato de
"abuse" do ASN detentor dos IPs citados para que esses servidores/serviços
maliciosos sejam tirados do ar o mais rápido possível (evitando que mais
usuários caiam no mesmo golpe). O CERT.br recomenda no link [1] que esses
e-mails sejam mandados com cópia para cert at cert.br.

Aproveito para reforçar que a lista [caiu] não é o lugar mais apropriado
para esse tipo de discussão levantada por você. Esta é uma lista de
indisponibilidade. Este assunto seria melhor tratado em listas como GTER
[2] e/ou MASOCH-L [3].

César

[0] http://cartilha.cert.br/golpes/#2.3.1
[1] http://www.cert.br/contato/
[2] http://eng.registro.br/mailman/listinfo/gter
[3] http://eng.registro.br/mailman/listinfo/masoch-l

2015-09-18 19:47 GMT-03:00 suporte salvador <suporteinfossa at gmail.com>:

> Rede-Wifi-Adsl(Oi).
>
> Acabo de fazer um atendimento onde o cliente teve ser roteador wifi
> comprometido, uma máquina na rede com um arquivo malicioso setou so DNSs do
> roteador wifi para: 63.143.36.91 e 141.105.66.183, esses DNSs redirecionam
> páginas de banco(no caso do cliente BB), e provavelmente o serviço de
> alerta de site malicioso que o google chrome tem.
> A página do Banco é identica, e na página seguinte a ag, conta e senha,
> pede o número do celular e senha do cartão. Provavelmente essa galera tem
> ajuda de funcionários das operadoras, já que qualquer operação só é
> liberada mediante código de confirmação via SMS, na Oi o sms nem chega ao
> celular (meu caso).
>
> O IP do site fake é : 141.105.66.183, quem quiser testar basta colocar o
> dns na maquina ;-).
>
> Aos provedores de internet residencial principalmente, se possível enviem
> email aos seus clientes alertando para efetuarem a troca da senha e usuário
> padrão dos modens, isso evita que um computador faça o estrago em uma rede
> inteira.
>
> Gostaria de solicitar aos mais experientes, que comentem qual a maneira
> correta de reportar esses tipos de problemas. A pouco tem encontrei um
> trojan que modificava páginas e se comunicava com uma máquina/servidor da
> rede Oi, fiz a denuncia na delegacia digital do estado do qual o IP
> aparentemente pertencia, mas não sei se foi tomada as devidas providências.
>
> Att
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu