[GTER] RES: Oi entregando DNS "banker"

Filipe Abelha Melo filipeabelhamelo at gmail.com
Fri May 15 08:55:21 -03 2015 

Um golpe de proporções bilionárias. PF precisar agir urgente.


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Emanuel Martins
Enviada em: quinta-feira, 14 de maio de 2015 21:54
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Oi entregando DNS "banker"

Complicado entender como um provedor como a ou permite isso em sua rede.
Em 05/05/2015 14:49, "Antonio Listas" <aclistas at gmx.com> escreveu:

>
> Olá,
>
> Meu ADSL da Oi e de diversos conhecidos que tenho na região está 
> recebendo direto do DHCP da Oi, um servidor de DNS secundário com o IP 
> 173.255.134.206.
>
> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
> Primário: 201.10.128.2
> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
>
> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de 
> servidores virtuais/dedicados no varejo.
> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do 
> Banco do Brasil e enviando-nos para uma página "fake" para capturar os 
> dados de acesso do banco.
>
> www.bb.com.br has address 162.243.90.26 www57.bb.com.br has address 
> 162.243.90.26
> 162.243.90.26 - este, que por sua vez, é um servidor também 
> pertencente a uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
>
> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a 
> exibir um banner do Google Adsense no topo da página, algo que não 
> aparece utilizando DNS da OpenDNS e SuperDNS.
>
> Sendo assim, vendo este cenário, imagino que:
> a) funcionário da Oi se aliando a hackers;
> b) rede da Oi completamente comprometida, onde até acesso aos 
> servidores de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
>
> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não 
> estão tendo seus dados bancários roubados, e não sei mais o que, visto 
> que só consegui identificar isso por causa do BB, mas não tenho conta 
> em outros bancos para testar...
> Parabéns pra Oi.
>
> É bom salientar que no mês passado os próprios DNS da Oi estavam 
> infectados, o que eu acreditava ser algum cache poison, mas 
> aparentemente não é poison, e sim alguém lá dentro fazendo de propósito.
> Verifiquei que existem diversos relatos em outros forums na Internet 
> onde o pessoal que utiliza a Oi já havia percebido exatamente os 
> mesmos sintomas que percebi neste final de semana.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list