[GTER] Oi entregando DNS "banker"

Vagner Morais - Nwnet sysop at nwnet.com.br
Tue May 5 16:19:36 -03 2015


Pode ser que estão enviando scripts aos clientes e o mesmo altera o DNS 
dentro do modem/roteador.
O modelo destes modem/roteadores que esta ocorrendo o problema é o mesmo ?
Já fizeram isto com os roteadores WI-FI da TP Link, clientes com senha e 
usuário padrão do roteador
tiverão sérios problemas.

Vagner Morais - Nwnet

-----Mensagem Original----- 
From: Carlos Menandro
Sent: Tuesday, May 5, 2015 3:14 PM
To: Grupo de Trabalho de Engenharia e Operacao de Redes
Subject: Re: [GTER] Oi entregando DNS "banker"

Estou com o mesmo problema em várias ADSLs no estado de Rondônia.

Em 5 de maio de 2015 12:53, Antonio Listas <aclistas at gmx.com> escreveu:

>
> Olá,
>
> Meu ADSL da Oi e de diversos conhecidos que tenho na região está recebendo
> direto do DHCP da Oi, um servidor de DNS secundário com o IP
> 173.255.134.206.
>
> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
> Primário: 201.10.128.2
> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
>
> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de servidores
> virtuais/dedicados no varejo.
> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do Banco
> do Brasil e enviando-nos para uma página "fake" para capturar os dados de
> acesso do banco.
>
> www.bb.com.br has address 162.243.90.26
> www57.bb.com.br has address 162.243.90.26
> 162.243.90.26 - este, que por sua vez, é um servidor também pertencente a
> uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
>
> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a exibir
> um banner do Google Adsense no topo da página, algo que não aparece
> utilizando DNS da OpenDNS e SuperDNS.
>
> Sendo assim, vendo este cenário, imagino que:
> a) funcionário da Oi se aliando a hackers;
> b) rede da Oi completamente comprometida, onde até acesso aos servidores
> de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
>
> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
> estão tendo seus dados bancários roubados, e não sei mais o que, visto que
> só consegui identificar isso por causa do BB, mas não tenho conta em 
> outros
> bancos para testar...
> Parabéns pra Oi.
>
> É bom salientar que no mês passado os próprios DNS da Oi estavam
> infectados, o que eu acreditava ser algum cache poison, mas aparentemente
> não é poison, e sim alguém lá dentro fazendo de propósito.
> Verifiquei que existem diversos relatos em outros forums na Internet onde
> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos 
> sintomas
> que percebi neste final de semana.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter 




More information about the gter mailing list