[GTER] Oi entregando DNS "banker"
Antonio Listas
aclistas at gmx.com
Tue May 5 13:53:56 -03 2015
Olá,
Meu ADSL da Oi e de diversos conhecidos que tenho na região está recebendo direto do DHCP da Oi, um servidor de DNS secundário com o IP 173.255.134.206.
Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
Primário: 201.10.128.2
Secundário: 201.10.128.3 (e agora, 173.255.134.206).
O IP 173.255.134.206 pertence a UK2.net, que vende serviços de servidores virtuais/dedicados no varejo.
O IP 173.255.134.206 (DNS secundário) está trocando os endereços do Banco do Brasil e enviando-nos para uma página "fake" para capturar os dados de acesso do banco.
www.bb.com.br has address 162.243.90.26
www57.bb.com.br has address 162.243.90.26
162.243.90.26 - este, que por sua vez, é um servidor também pertencente a uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a exibir um banner do Google Adsense no topo da página, algo que não aparece utilizando DNS da OpenDNS e SuperDNS.
Sendo assim, vendo este cenário, imagino que:
a) funcionário da Oi se aliando a hackers;
b) rede da Oi completamente comprometida, onde até acesso aos servidores de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não estão tendo seus dados bancários roubados, e não sei mais o que, visto que só consegui identificar isso por causa do BB, mas não tenho conta em outros bancos para testar...
Parabéns pra Oi.
É bom salientar que no mês passado os próprios DNS da Oi estavam infectados, o que eu acreditava ser algum cache poison, mas aparentemente não é poison, e sim alguém lá dentro fazendo de propósito.
Verifiquei que existem diversos relatos em outros forums na Internet onde o pessoal que utiliza a Oi já havia percebido exatamente os mesmos sintomas que percebi neste final de semana.
More information about the gter
mailing list