Ir para o conteúdo principal

DNS malicioso é usado para roubar dados dos voluntários na Venezuela

13 de fevereiro de 2019

Golpe foi descoberto quando os pesquisadores da Kaspersky Lab perceberam que os dois sites estavam direcionando o usuário para o mesmo endereço IP malicioso

Os pesquisadores da Kaspersky Lab alertam que cibercriminosos estão usando uma técnica que manipula o endereçodo servidor DNS para roubar dados de quem se inscreve no movimento "Voluntários para a Venezuela". A iniciativa, que já conta com milhares de pessoas cadastradas de acordo com a imprensa local, é resultado da convocação pública que o senhor Juan Guaidó, atual presidente interino da Assembleia Nacional da Venezuela, fez em 10 de fevereiro, solicitando voluntários para contribuírem na ajuda humanitária ao país.

A campanha é legítima e funciona da seguinte maneira: os voluntários se registram em um site e depois recebem instruções sobre como ajudar. O site original pede que os voluntários forneçam seu nome completo, identificação pessoal, número de telefone celular e se possuem algum certificado médico, um carro ou um smartphone, além de solicitar também a localização de onde eles moram.

Este site apareceu online em 6 de fevereiro deste ano. Apenas alguns dias depois, em 11 de fevereiro, um dia após o anúncio público da iniciativa, outro site quase idêntico apareceu com um nome de domínio e uma estrutura muito parecidos.

Na verdade, o site falso é o reflexo do site original, voluntariosxvenezuela.com. Tanto o site original quanto o site falso usam SSL do Let's Encrypt, mas as diferenças são as seguintes:

O site oficial dos voluntáriosxvenezuela

Primeiro dia online, 6 de fevereiro de 2019

Informação Whois (site de consulta para informações de contato e DNS sobre entidades na internet):

·         Registrado em nome de Sigerist Rodriguez, em 4 de fevereiro de 2019

·         Hospedado no Amazon Web Services

Site Falso

Primeiro dia online, 11 de fevereiro de 2019

Informação Whois (site de consulta para informações de contato e DNS sobre entidades na internet):

·         Registrado pelo GoDaddy, usando a função de Proteção de Privacidade em 11 de fevereiro de 2019

·         Hospedado primeiro no GoDaddy e depois no DigitalOcean


A descoberta do golpe aconteceu quando os pesquisadores perceberam que os dois domínios distintos e com proprietários diferentes estão direcionando o tráfego dentro da Venezuela para o mesmo endereço IP, pertencente ao proprietário do domínio falso:

Isso significa que não importa se um voluntário abre a página oficial ou a falso, pois de qualquer maneira colocará suas informações pessoais em um site fraudulento e estará correndo risco.

Caso o acesso seja realizado de fora da Venezuela, o site oficial direciona o tráfego para um endereço diferente:

Neste cenário, em que os servidores DNS são manipulados, a Kaspersky Lab recomenda enfaticamente o uso de servidores DNS públicos, como os servidores do Google (8.8.8.8 e 8.8.4.4) ou os servidores do CloudFlare e do APNIC (1.1.1.1 e 1.0.0.1). Além disso, recomenda-se utilizar conexões VPN sem um DNS de terceiros. A Kaspersky Lab bloqueia o domínio falso como phishing.

Esta técnica já é utilizada por criminosos brasileiros para roubar dados ao infectar os roteadores domésticos.

Sobre a Kaspersky Lab

A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 20 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky Lab, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em www.kaspersky.com.br.

DNS malicioso é usado para roubar dados dos voluntários na Venezuela

Golpe foi descoberto quando os pesquisadores da Kaspersky Lab perceberam que os dois sites estavam direcionando o usuário para o mesmo endereço IP malicioso
Kaspersky logo

Sobre a Kaspersky

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. Com mais de um bilhão de dispositivos protegidos contra ciberameaças emergentes e ataques direcionados, seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência em segurança estão constantemente se transformando em soluções e serviços inovadores para proteger empresas, infraestruturas críticas, governos e pessoas em todo o mundo. O portfólio abrangente de segurança da empresa inclui proteção líder para endpoint, produtos e serviços de segurança especializados, bem como soluções de Ciberimunidade para combater ameaças digitais sofisticadas e em evolução. Ajudamos mais de 200.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no www.kaspersky.com.br.

Artigo relacionado Comunicado à imprensa