Em uma série de ataques relacionados, os hackers estão forjando registros de DNS para encaminhar os usuários para sites falsos criados para roubar credenciais de login e outras informações confidenciais.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Especialistas das principais empresas de segurança cibernética, incluindo a Tripwire, a FireEye e a Mandiant, relataram uma onda alarmantemente grande de ataques de sequestro de DNS ocorrendo em todo o mundo. Esses ataques têm como alvo entidades governamentais, de telecomunicações e de internet em todo o Oriente Médio, Europa, Norte da África e América do Norte.
Os pesquisadores não identificaram publicamente os sites visados, mas reconheceram que o número de domínios que foram comprometidos alcança as dezenas. Esses ataques, que vêm acontecendo desde pelo menos 2017, estão sendo usados juntamente com credenciais roubadas previamente para direcionar os usuários a sites falsos desenvolvidos para roubar as credenciais de login e outras informações confidenciais.
Embora ninguém tenha assumido o crédito por esses ataques, muitos especialistas acreditam que eles estão vindo do Irã. Vários endereços de IP dos invasores foram rastreados até o Irã. Embora seja possível que os invasores estejam falsificando IPs iranianos para despistar, os alvos do ataque também parecem indicar o Irã. Os alvos incluem sites do governo de vários países do Oriente Médio, sites contendo dados que não têm nenhum valor financeiro mas que seriam muito valiosos para o governo do Irã.
Há algumas estratégias de ataque diferentes sendo realizadas, mas o fluxo dos ataques é o seguinte:
*O Domain Name System (DNS) é como a lista telefônica da internet. Quando um usuário digita uma URL, como "google.com" em seu navegador, seus registros nos servidores de DNS direcionam esse usuário para o servidor de origem do Google . Se esses registros de DNS forem adulterados, os usuários podem acabar em um lugar que eles não esperavam.
Os usuários sozinhos não podem fazer muito para se proteger contra a perda de credenciais nesses tipos de ataques. Se o invasor for suficientemente minucioso ao criar seu site fictício, pode ser muito difícil, mesmo para usuários altamente técnicos, detectar a diferença.
Uma maneira de mitigar esses ataques seria os provedores de DNS reforçarem sua autenticação, tomando medidas como a exigência de autenticação de 2 fatores, o que tornaria significativamente mais difícil para os invasores acessar os painéis do admin do DNS. Os navegadores também poderiam atualizar suas regras de segurança, por exemplo, examinando a origem dos certificados TLS para garantir que a origem deles esteja de acordo com o domínio em que estão sendo utilizados.