Alguns minutos atrás, você decidiu visitar o strong.avance10.com. Você digitou no seu navegador e pronto! Você está aqui. Você já se perguntou o que acontece em segundo plano?
Seu navegador não sabe como encontrar este domínio — ele precisa entrar em contato com um servidor DNS para levá-lo até aqui. E mesmo que você tenha se conectado com sucesso ao site certo, um ataque de falsificação de DNS pode levá-lo a outro lugar completamente. Saiba o que é e como você pode se proteger dele.
O que é DNS?
Para entender a falsificação de DNS, primeiro você precisa saber o que são servidores DNS.
Cada site na internet tem um nome de domínio e um endereço IP exclusivo vinculado a ele. Nossos navegadores podem navegar apenas usando endereços IP.
Mas eles têm pelo menos oito dígitos (mais se o site usar IPv6), o que os torna inconvenientes de usar e difíceis de lembrar para humanos. Portanto, usamos nomes de domínio para facilitar o acesso — como strong.avance10.com para Strong The One. E armazenamos o domínio e o endereço IP de cada site em um servidor DNS que nossos navegadores podem acessar sempre que precisarmos.
Assim, sempre que você quiser ir a um site, você digita o nome do domínio e seu navegador entra em contato com um servidor DNS para solicitar o endereço IP desse domínio. Se o servidor o tiver em seu banco de dados, ele o enviará de volta e seu navegador o conectará ao site.
No entanto, o servidor DNS possui apenas os endereços mais populares em sua rede. Se o servidor receber uma consulta de um nome de domínio que não está em seu banco de dados, ele entrará em contato com outro servidor DNS solicitando-o. Depois de enviá-lo de volta para você, seu servidor local armazenará o nome de domínio e o endereço IP correspondente em seu cache por um curto período de tempo.
Da mesma forma, seu navegador verificará seu próprio cache local antes de entrar em contato com o servidor DNS. Se você visitou o mesmo domínio recentemente, seu endereço IP será armazenado lá. Dessa forma, seu navegador não precisa enviar uma nova solicitação ao servidor DNS e você se conecta um pouco mais rápido.
Como funciona a falsificação de DNS
Os invasores usam ataques de falsificação de DNS (também chamados de envenenamento de DNS) para redirecionar os usuários da Internet para sites falsos que se parecem exatamente com o real. As pessoas muitas vezes nem percebem nada e usam esses sites como de costume. Os cibercriminosos fazem isso para obter informações sobre suas vítimas (como suas credenciais de login) ou instalar malware em seus dispositivos.
Às vezes, os hackers também usam falsificação de DNS para realizar ataques DDoS. Eles redirecionam usuários de vários sites para o site que estão direcionando, que, incapaz de lidar com a carga, trava.
Existem algumas vulnerabilidades de DNS que os cibercriminosos podem explorar em diferentes ataques:
Envenenamento de cache
É um dos métodos mais populares de falsificação de DNS. O envenenamento de cache não é apenas eficaz no redirecionamento de usuários para onde o invasor os deseja – também permite corromper os caches de outros servidores DNS e espalhar o endereço IP falso. O invasor insere o IP fraudulento no cache e o servidor começa a enviá-lo sempre que um usuário solicita.
Dessa forma, qualquer servidor que enviar uma consulta para o IP deste domínio também receberá um falso e o armazenará em seu cache. A entrada DNS forjada permanecerá lá até que o cache expire, o que pode levar de algumas horas a um dia inteiro.
Invadindo o servidor DNS
Esse método é semelhante ao envenenamento de cache — ele também depende da implantação de um endereço IP falso no servidor. Mas não é tão simples como enganar um servidor para que armazene um registro fraudulento no cache. Os invasores precisam de credenciais de usuário válidas para entrar em um servidor DNS.
Eles geralmente os obtêm usando malware de keylogging, phishing ou ataques man-in-the-middle. Esse tipo de falsificação de DNS é difícil de realizar, mas o endereço IP falso acaba diretamente no banco de dados do servidor e permanece lá em vez de em um cache que expira rapidamente.
O Twitter sofreu com esse ataque em 2009, quando cibercriminosos iranianos redirecionaram todo o seu tráfego para seu site. No entanto, o Twitter nunca divulgou como os invasores conseguiram obter as credenciais de um de seus funcionários.
Ataque man-in-the-middle
Quando um invasor consegue interceptar a comunicação de um usuário com o servidor DNS, ele pode responder às suas consultas com um endereço IP que leva a um site falso ou malicioso. Quando o invasor está tentando obter informações sem que a vítima perceba nada, ele cria uma cópia de um site real (uma rede social, loja online, serviço de e-mail etc.). Alguns sites fraudulentos são tão bem feitos que pode ser um desafio diferenciá-los do original. Mas algumas falsificações são tentativas absurdas de enganar as pessoas, como a loja de uma marca de roupas popular que parece ter sido projetada com o MS Paint.
Como evitar falsificação de DNS?
Existem algumas maneiras diferentes pelas quais as organizações podem proteger os servidores DNS, e o DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) é um dos mais populares. Ele usa criptografia de chave pública para autenticar endereços IP, verificar sua origem e garantir que ninguém os adulterou durante o trânsito.
Infelizmente, não há muito que os usuários regulares da Internet possam fazer para impedir a falsificação de DNS. E não há como verificar se o endereço IP que o servidor DNS enviou é genuíno ou substituído por outro. Mas nem tudo é tão sombrio. Quando se trata de sites falsos, existem vários sinais indicadores para procurar:
Veja se há um ícone de cadeado ao lado do URL. Isso significa que o site possui um certificado TLS/SSL válido e todas as comunicações entre você e o site são criptografadas. Se os invasores não se esforçarem muito em seu site falso, é provável que ele não tenha esse certificado. Mas todas as principais páginas da web o têm, então se não houver “https” no início da URL, é uma grande bandeira vermelha.
Verifique a URL. É o mesmo domínio que você digitou originalmente no seu navegador? Ou faltam algumas letras? Nossos olhos estão tão acostumados a ler “amazon.com” que muitas pessoas podem nem perceber que há algo errado com “arnazon.com”. Se o domínio não for o mesmo que você visitou em primeiro lugar, significa que você foi redirecionado. Isso deve levantar suspeitas imediatamente – não insira nenhuma informação pessoal antes de verificar se você não está em um site fraudulento.
Está na marca? Se você visita esse site específico com frequência ou conhece bem a marca, deve saber se algo está errado. O logotipo e o slogan estão atualizados? As imagens, fontes e design geral estão de acordo com o que você espera da marca? Se houver algo que o faça desconfiar, é melhor investigar mais a fundo.
Preste atenção ao conteúdo. Se for um blog pessoal, alguns erros de digitação podem aparecer. Mas grandes corporações gastam muito dinheiro em sua imagem, e deixar erros de gramática óbvios é sempre fora da marca, então não deve haver nenhum. Os invasores geralmente passam mais tempo recriando o design e ficam um pouco preguiçosos quando se trata do conteúdo do site. Portanto, se o texto estiver mal elaborado ou os títulos não fizerem muito sentido, seja cuidadoso.
Essas dicas ajudarão você a identificar um site falso. No entanto, se você for redirecionado para um site malicioso, não faz diferença se é real ou não – o malware ainda pode entrar no seu dispositivo. Se isso aconteceu com você, verifique o dispositivo imediatamente e verifique se é seguro usá-lo. Existem muitos tipos diferentes de programas maliciosos que podem infectar seu laptop ou smartphone, por isso é melhor ficar do lado seguro.
