Em uma mesma semana, a internet brasileira se surpreendeu duas vezes com ataques de hackers direcionados ao buscador Google e dois sites de conteúdo: do portal UOL e do jornal Folha de S.Paulo. Apesar de nenhuma das empresas ter sido realmente invadida ou hackeada, os criminosos - ainda não identificados - prejudicaram internautas nas duas situações.
O que aconteceu?
Na terça-feira (3), a página inicial do Google foi redirecionada para outro endereço por alguns minutos. O ataque enviou internatuas para uma página fora do buscador, com uma ilustração e um texto em inglês. O ataque é reivindicado pelo hacker Kuroi'Sh, de acordo com imagens compartilhadas nas redes sociais. O tema chegou a figurar entre os trend topics do Twitter no mesmo dia.
No caso do UOL e da Folha de S.Paulo, os internautas eram direcionados para uma página de conteúdo pornográfico. Os dois veículos são do mesmo grupo. Outros sites sob domínio do UOL também sofreram com o mesmo problema na madrugada de sexta-feira (6).
De acordo com o gerente de segurança da PSafe, Emílio Simoni existem três hipóteses que estão sendo discutidas para os ataques, mas ainda não é possível afirmar qual é a correta:
Cenário 1 - As contas foram invadidas e o hacker fez uma alteração da configuração dos domínios para apontarem para outro endereço IP;
Cenário 2 - Os servidores de DNS utilizados pelo usuário foram comprometidos, de forma que passaram a direcionar os usuários do Google e UOL, por exemplo, para outros websites.
Cenário 3 - Houve um comprometimento de rota em um dos computadores que controlam o tráfego dos sites atacados, realizando um redirecionamento desta rota para os endereços de sites de conteúdo adulto.
Para Simoni, ao contrário do que foi noticiado em alguns sites, não houve defacement desses sites, uma espécie de "pichação virtual" para transmitir uma mensagem de cunho político ou trazer popularidade para o hacker.
— O mais provável é que o ataque tenha sido ao servidor de DNS do provedor de acesso à internet. Nesse caso, a vulnerabilidade depende do sistema operacional utilizado e do sistema de DNS adotado. Normalmente, os hackers buscam "exploits" - códigos que exploram falhas de programação - para executar dados enviados pelo hacker, o que lhes garante acesso completo aos computadores da empresa atacada.
Prejuízos ao usuário
Apesar de, aparentemente, esses desvios de rota não terem causados danos aos internautas, o analista sênior da Kaspersky Lab, Fabio Assolini, comenta que esse tipo de "sequestro" de um endereço de internet pode ser uma forma de mascarar uma invasão posterior ou mesmo render dinheiro para os criminosos.
— Imagine quantos milhões de acessos um buscador como o Google tem por hora. O criminoso pode lucrar redirecionando os usuários para um site que ele controla e aproveitando esse fluxo de navegação para ganhar propagandas ou distribuindo vírus, como trojans que roubam senhas bancárias ou dados de cartão de crédito.
O especialista ressalta a importância de possuir um antivírus em sua máquina, que é considerado "a última defesa do usuário".
Medidas preventivas
De acordo com os especialistas procurados pela reportagem do R7, além de um antivírus é preciso que o usuário desconfie de tudo que parece fora do normal em uma página de internet. Um exemplo é o certificado de segurança que vários sites possuem e está identificado por um cadeado ao lado da barra de endereço no seu navegador. Ao clicar duas vezes nesse símbolo de segurança, você precisa ter a informação da página que está acessando.
Outros golpes comuns têm relação com e-mails de criminosos se passando por instituições bancárias pedindo dados confidenciais, como senha de cartão de crédito. Outro conselho é evitar o acesso a sites que estão "hackeados" para que a curiosidade não cause mais prejuízos.
De acordo com uma pesquisa divulgada pelo Norton Report, 1 em cada 5 usuários de dispositivos conectados não possui uma forma de proteção do seu smartphone, tablet ou computador. Por esse motivo, o engenheiro de segurança da Norton, Nelson Barbosa Jr avalia que os casos de Google e UOL são emblemáticos em um mundo que caminha para a chamada era da internet das coisas, quando vários dispositivos estarão conectados - permitindo novas vulnerabilidades.
— Esses ataques podem mostrar um alerta sobre a necessidade de revisar e reforçar as soluções de segurança adotadas pelas empresas e usuários em todos os seus dispositivos. Por mais que tenham o tom de protesto ou ativismo, tem grande valia para nos alertar da necessidade de proteger todos os nossos dispositivos conectados.
O que dizem Google e UOL
Em comunicado à imprensa, o Google confirmou o comprometimento de servidores de DNS, mas esclarece que não é o responsável por esses serviços. Leia o comunicado na íntegra:
Alguns usuários de internet no Brasil tiveram problemas ao acessar o google.com.br devido a um comprometimento de servidores DNS: ou seja, a alteração maliciosa das configurações de direcionamento desses servidores, levando o usuário a um site diferente do que ele pretende acessar. O Google não é responsável pelos servidores de DNS afetados, por isso notificou os administradores, que corrigiram o problema em 30 minutos. Os usuários ainda afetados podem fazer a troca do servidor DNS de sua rede, já que não há nenhum comprometimento do sistemas do Google. O DNS Público do Google pode ser uma alternativa. Veja como configurar sua rede neste link (em inglês).
Já o UOL, esclarece que a base de usuários do portal não foi acessada por criminosos. Confira a íntegra do comunicado divulgado à imprensa:
Usuários tiveram problemas ao acessar a home do UOL e alguns conteúdos de parceiros durante a madrugada desta sexta-feira (6). O problema não aconteceu no UOL e nenhum servidor da empresa foi violado. A base dos usuários do UOL não foi acessada por ninguém. A intervenção ilegal de terceiros ocorreu apenas na conexão entre os aparelhos dos usuários (celulares, desktops, etc.) e os servidores do UOL. Houve alteração do DNS (em português, Sistema de Nomes de Domínios), serviço que relaciona o endereço textual de um site (uol.com.br, por exemplo) com um número de IP (Internet Protocol), código que os computadores identificam e usam para encontrar a página. O UOL não é responsável pelos servidores de DNS afetados. Tão logo identificou a alteração, o UOL notificou os administradores, que corrigiram o problema em cerca de uma hora. Os responsáveis estão investigando a origem do problema.