[GTER] Oi entregando DNS "banker"
Rafael Possamai
rafael at gav.ufsc.br
Tue May 5 14:52:41 -03 2015
Como um ISP tao grande nao identifica isso? Ou pelo menos monitora seu
proprio sistema.
2015-05-05 11:53 GMT-05:00 Antonio Listas <aclistas at gmx.com>:
>
> Olá,
>
> Meu ADSL da Oi e de diversos conhecidos que tenho na região está recebendo
> direto do DHCP da Oi, um servidor de DNS secundário com o IP
> 173.255.134.206.
>
> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
> Primário: 201.10.128.2
> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
>
> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de servidores
> virtuais/dedicados no varejo.
> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do Banco
> do Brasil e enviando-nos para uma página "fake" para capturar os dados de
> acesso do banco.
>
> www.bb.com.br has address 162.243.90.26
> www57.bb.com.br has address 162.243.90.26
> 162.243.90.26 - este, que por sua vez, é um servidor também pertencente a
> uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
>
> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a exibir
> um banner do Google Adsense no topo da página, algo que não aparece
> utilizando DNS da OpenDNS e SuperDNS.
>
> Sendo assim, vendo este cenário, imagino que:
> a) funcionário da Oi se aliando a hackers;
> b) rede da Oi completamente comprometida, onde até acesso aos servidores
> de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
>
> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
> estão tendo seus dados bancários roubados, e não sei mais o que, visto que
> só consegui identificar isso por causa do BB, mas não tenho conta em outros
> bancos para testar...
> Parabéns pra Oi.
>
> É bom salientar que no mês passado os próprios DNS da Oi estavam
> infectados, o que eu acreditava ser algum cache poison, mas aparentemente
> não é poison, e sim alguém lá dentro fazendo de propósito.
> Verifiquei que existem diversos relatos em outros forums na Internet onde
> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos sintomas
> que percebi neste final de semana.
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list