Problema com DNS ao acessar sites de bancos

[marcioafonso]

Bom Dia, estou com um problema que - por ser leigo - não consegui mensurar a gravidade ainda. Sou usuário da Live TIM 50MB no Rio de Janeiro e nunca tive grandes problemas. Contudo, ontem à noite percebi que não consegui acessar ao Internet Banking de diversos bancos. Pelo meu celular, no wifi, era exibida mensagem de erro no DNS. Pela internet, em alguns era exibida a mensagem de erro de DNS, mas especificamente no Banco do Brasil eu fui “redirecionado” (digo “redirecionado” porque a página não me pareceu a “real”, mas o endereço na barra do browser era o real) para uma página de phishing que me pedia para confirmar diversos dados pessoais. Obviamente eu não confirmei.

 

Desconfiei de algum tipo de vírus que atacou o DNS e fui checar o setup do modem que, por burrice minha, ainda estava no padrão admin/admin. Chequei a guia de DNS e vi que a opção “Use the following static DNS IP address” estava selecionada com os seguintes endereços listados como primário e secundário: 144.217.1.160 e 167.114.54.13. Não me lembro de ter alterado isso e – como disse, por ser leigo – não sei se isso é uma configuração automática da Live TIM, mas fiz um backup das configurações e resetei o modem ao default de fábrica (e mudei a senha do setup). Após o reset, os DNS listados acima tinham sumido e a opção marcada era “Select DNS Server Interface from available WAN interfaces”.

 

O problema foi “solucionado”. Conseguia acessar as páginas de banco normalmente, sem sinal de phishing. Obviamente já havia tomado as medidas de segurança e bloqueado temporariamente o internet banking até conseguir mudar a senha. Mas hoje pela manhã fui verificar e, sem eu ter feito nenhuma mudança manual, a opção “Use the following static DNS IP address” estava selecionada automaticamente e o erro de acesso a internet banking voltou a ocorrer. Fiquei assustado porque já havia mudado a senha do modem para algo diferente do padrão, então não sei qual a gravidade desse problema. Poderiam me ajudar?

[ciro-mota]

Boa tarde.

 

Ok, mas ao fazer tudo isso, você mudou a senha de acesso padrão do modem ou manteve a mesma? Resete e troque a senha.

[marcioafonso]

Então, eu havia trocado a senha padrão (admin/admin)... mas o problema persistiu, como eu disse. Voltando pra casa agora, pesquisei mais e descobri que a Live Tim possui um módulo avançado do modem com username/login padrão Tim4dm/Tim4dm... Esses eu não tinha mudado. Mudei agora e vou aguardar para ver o resultado.

[marcioafonso]

Pois bem, mesmo tendo mudado as senhas de rede, de configuração do modem (tanto a padrão admin quanto a "avançada" da Live TIM) e feito uma varredura completa em todos computadores e celulares que se conectam a ela, agora há pouco a minha conexão "caiu", voltando segundos depois e não deu outra: quando fui olhar no roteador os DNS estavam alterados novamente! Não sei mais o que posso fazer, já tomei todas medidas que aconselham na internet!

[ciro-mota]

Qual é a marca e modelo do seu modem?

[marcioafonso]

Acredito que seja isso: HardWare Version:F@ST 5310 TIM V1.0 

[ciro-mota]

Se mesmo alterando as senhas, certificando-se de que não é um acesso externo (alguém conectado pelo seu sinal wifi), é possível que este modem tenha alguma vulnerabilidade no firmware, o que permite a modificação.

 

É uma leitura antiga, outro modelo de aparelho, mas que combina com a descrição de seu problema:

https://pt.scribd.com/document/221150955/O-Conto-Dos-1001-Modems-ADSL-Kaspersky-Lab-Brasil

[marcioafonso]

@ciro-mota Obrigado pela resposta! Tinha lido sobre essas possibilidades e, realmente acredito que possa ser um problema de firmware.

 

Agora, só para adicionar mais algumas informações no meu caso.

 

Por padrão, os modems da TIM Live possuem um usuário básico (admin/admin) e um usuário avançado T1m4dm/T1m4dm). Eu havia mudado a senha de ambos usuários para algo diferente do padrão depois de perceber o redirecionamento de DNS. Como disse num post anterior, apesar disso, o problema voltou a acontecer (ontem, por volta das 23h40). Depois de investigar um pouco mais, me surpreendi pela existência de um terceiro usuário com exatamente o mesmo nome do superusuário da TIM: 

 

"Access to your broadband router is controlled through three accounts: T1m4dm, admin, and T1m4dm."

 

Em outros fóruns, usuários da TIM disseram que não é comum ter 3 usuários, apenas 2 - inclusive me aconselharam a deletar o 3º usuário, mas não encontro essa opção em nenhum lugar.

 

Quanto à atualização de firmware, acho que só a TIM pode me fornecer, correto? No menu na opção de Update Software começa com: "Step 1: Obtain an updated software image file from your ISP."

 

Eu ainda não liguei pra TIM, mas descobri o caso de um outro rapaz com o mesmo prboelam que eu em outro fórum que ligou e não o levaram a sério. 
 

[ciro-mota]

Que é de meu conhecimento é que deva constar somente dois usuários, não tinha lido ainda sobre o terceiro. Uma das contas deve ser um super administrador, caso não encontre como remover, apenas altere as senhas das três e faça novo teste. Se ainda assim o problema voltar a ocorrer, então entra no problema relatado do link que indiquei.

 

Quanto as atualizações, geralmente é a TIM ou o fabricante em sua página oficial.