Guia do hacker/DNS Poisoning

Guia do hacker

Infelizmente existem técnicas que burlam essas dicas, como o DNS Poisoning, onde o cracker infecta a máquina da vítima alterando o arquivo hosts do Windows, que é responsável pelo redirecionamento de endereços IPs para as URLs que conhecemos. Por exemplo, o IP do google é 173.194.42.137, se você digitar isso na barra de endereço do seu navegador você será levado até o site do google. Mas seria difícil gravar os IPs de todos os sites que conhecemos, e é para isso que serve o DNS, pra deixar IPs mais bonitos.

   O arquivo hosts do Windows fica localizado em C:\Windows\System32\drivers\etc\hosts, e nele contém o endereço IP do site, seguido do 

domínio referente a ele.

   Se no final do arquivo você adiciona uma linha com o código: "127.0.0.1google.com"  você não conseguirá mais entrar no google 

pelo domínio google.com, porque ele será redirecionado para servidor local(de IP 127.0.0.1).

   Então se for adicionar a linha:

xxx.xxx.xxx.bna.com, sendo xxx o IP da página fake, e outro parâmetro o site do banco de Angola. Assim, quando você entrasse nessa url, seria redirecionado para o site falso, e não perceberia, porque a URL não mudaria.

   Abaixo um print de um malware que faz alteração desse arquivo:

C:\Documents and Settings\Administrador\configurador locais
C:\Documents and settings\Administrador locais
C:\Documents and settings\cookies\index.dat
C:\Documents and settings\administrador ntuser.dat.LOG DE18.pf
C:\Windows\Prefetch\I Explore.EXE-2853
C:\Windows System32\configurações\software.LOG
C:\Windows System drivers etc\hosts ←

   A dica que dou para não cair nesses golpes é utilizar um bom anti malware(recomendo: malware bytes), e sempre verificar o arquivo hosts antes de 

fazer login em alguma página importante. Basta executar o bloco de notas como administrador e arrastar o arquivo localizado em C:\Windows\System32\drivers\etc para lá, e verificar as últimas linhas. Se tiver o link de algum site lá, apague essas linhas e faça varredura com o anti malware. Se continuar aparecendo, recomendo utilizar apps mais agressivos como o combofix. Se ainda assim não sair, a solução é formatar.

   Outras técnicas como a utilização de KL banker, KL proxy etc. São quase a mesma coisa, e as dicas que eu posso dar são as mesmas. Mantendo seu anti-vírus actualizado e tome muito cuidado com os sites onde entra. Sempre verifique o arquivo hosts.