Vítimas
A maioria dos programas maliciosos para roubar contas bancárias atingem os clientes do Bradesco, Caixa, Banco do Brasil (12 porcento cada um) e o Itaú (9 port cento) – os maiores bancos do Brasil.
Para além dos números de cliente, os cibercriminosos estão interessados nas medidas de segurança que os bancos utilizam. Muitos bancos sugerem que os seus clientes online instalem um plug-in especial – o G-Buster – nos seus computadores, antes de acederem ao sistema bancário online. O plug-in G-Buster tem como função impedir que qualquer código malicioso corra durante o processo de autorização ou transacção. Este mecanismo é a única medida de segurança utilizada pela Caixa e pelo Banco do Brasil para proteger os seus clientes. Infelizmente, como veremos depois, a presença do plug-in G-Buster num computador não garante a segurança da banca online.
Outros bancos, como o Itaú, dão aos seus clientes outras ferramentas de segurança em complemento do plugin – tokens ou cartões de segurança.
O Bradesco oferece aos seus clientes outro método de protecção que consiste num par de chaves digitais único (certificados) gerado para cada um dos clientes. Uma das chaves é armazenada no computador e a outra num dispositivo de armazenamento amovível. Quando um utilizador tenta ligar-se ao site do banco, o sistema solicita o caminho para o segundo certificado.
Na teoria, estes mecanismos devem ser suficientes para proteger os utilizadores. Como veremos, na prática estes não são muito eficazes. Ou falham em proteger completamente os clientes online, ou os seus custos afastam os clientes. Por exemplo, para um cliente usar um token, primeiro terá de o comprar.
Os programas maliciosos disseminam-se com mais frequência através de sites – tanto sites legítimos comprometidos como sites hospedados temporária ou gratuitamente. Os domínios da companhia russa RBC Media – nm.ru e potcha.ru – são frequentemente utilizados gratuitamente para espalhar programas maliciosos.
Em alguns casos, quando os cibercriminosos assumem um projecto particularmente sério e precisam de um recurso de longo prazo. Para este propósito específico, utilizam um hosting “à prova de bala”, com tecnologia que identifica o endereço IP das vítimas potenciais. Quando identifica o endereço IP de um utilizador que caiu numa página infectada, o cibercriminoso pode realizar ataques direccionados e esconder programas maliciosos das companhias anti-vírus. Nem os especialistas em segurança IT nem os que residem fora da América do Latina têm acesso aos binários do código malicioso. Em muitos casos ser-lhes-á oferecido fotos de raparigas brasileiras.
Os clientes da banca online acabam muitas vezes em páginas infectadas, através de mensagens spam que utilizam tácticas de engenharia social clássica. Por vezes estas mensagens imitam emails enviados pelo banco, ou oferecem notícias sobre as celebridades locais ou conteúdo pornográfico. Os links destas mensagens encaminham os utilizadores para sites infectados.
Os Trojans bancários brasileiros nunca se disseminam através de ficheiros separados. O processo de infecção envolve sempre a instalação de um espectro alargado de programas maliciosos adicionais num computador da vítima. Os cibercriminosos não se focam apenas na informação bancária – conduzem ataques complexos.
O esquema clássico de infecção começa com um Trojan no servidor que tem como tarefa descarregar e instalar todos os outros programas maliciosos no computador do utilizador – um programa que rouba os dados da conta em sites de redes sociais; um programa que combate as soluções antivírus; um ou dois programas que monitorizam a actividade do utilizadores quando estes se ligam aos sites bancários, interceptam os dados da sessão e enviam a informação recolhida, como passwords, para os cibercriminosos.
Os sites de redes sociais tornaram-se uma fonte importante de quase todo o tipo de dados sobre o utilizador. O nome completo, data de nascimento, morada e outros podem ser utilizados pelos cibercriminosos, por exemplo, para fazer um inquérito “oficial” ao call center de um banco sobre o PIN de um utilizador.
O site de redes sociais mais popular no Brasil é o Orkut. Tem perto de 23 milhões de utilizadores por todo o Mundo, sendo 54 porcento brasileiros. Os utilizadores deste site de redes sociais são na maior parte das vezes atacados por cibercriminosos.
Em regra, dados pessoais e passwords para sites de redes sociais são enviados para a conta de email dos cibercriminosos.
O plug-in G-Buster deve pretensamente assegurar que as transacções efectuadas pelos clientes de determinados bancos são seguras. Para impedir que o G-Buster seja removido por um programa malicioso, os seus fabricantes utilizam programas perfeitamente legítimos para tomar medidas defensivas em relação a rootkits.
O mais popular programa anti-rootkit chama-se Avenger. Um Trojan downloader quando infecta um computador, carrega esta ferramenta no sistema com uma lista de ficheiros a remover (instruções). Tudo o que um cibercriminoso precisa para efectivamente remover o plug-in é lançar essa ferramenta e reiniciar o sistema.
O único parâmetro da ferramenta é o endereço dos ficheiros que devem ser removidos. Depois do sistema reiniciar, o plug-in original é removido e em alguns casos outro plug-in com código malicioso é instalado. O novo plug-in permite ao utilizador aceder à sua conta bancária, mas também rouba os dados da conta e reenvia-os para os cibercriminosos. Trata-se da mesma abordagem utilizada para remover programas anti-vírus do sistema de um utilizador.
Depois de uma transacção online ser realizada por um utilizador, o Trojan bancário descarregado no computador captura os dados que possibilitam aceder à conta da vitima. Os detalhes da conta são depois reencaminhados para o endereço de email do cibercriminoso, para o servidor FTP, ou para uma base de dados remota.
A actividade dos cibercriminosos não está limitada ao roubo dos dados para a aceder a sites de redes sociais. Muitas vezes tentam obter o endereço MAC de uma placa de rede, endereço IP, nome de computador e outra informação que pode ser utilizada para ligar a um banco. Fazem isto para cobrirem as suas pistas e implicar a vítima o máximo possível – se o banco inicia uma investigação, os logs farão com que tudo pareça que o cliente levantou o dinheiro ou o transferiu para outra conta.
Os cibercriminosos também estão interessados em qualquer endereço de email utilizado em computadores infectados e nas passwords para lhes aceder. Frequentemente, os utilizadores usam estes endereços e passwords para aceder às suas contas em sites de redes sociais, o que proporciona algumas oportunidades para cometer mais crimes. Adicionalmente, estes endereços podem ser registados na base de dados de um banco como contacto oficial de um cliente, o que os torna confiáveis.
No roubo de passwords de email, os cibercriminosos também utilizam programas legítimos que conseguem restaurar passwords esquecidas. Estes programas podem ler passwords armazenadas nos mais populares clientes de mail como o Microsoft Outlook, o Microsoft Outlook Express e outros.
O Trojan bancário brasileiro típico tem uma série de características bem definidas - tamanho do arquivo enorme, sequências em português no código, etc. Porém, de vez em quando, alguns exemplos sobressaem.
À primeira vista, estes Trojans bancários não parecem diferir dos exemplos clássicos - os mesmos bancos são atacados, os nomes dos arquivos podem coincidir com os nomes usados por cibercriminosos brasileiros. No entanto, um olhar mais atento revela algumas distinções claras - o tamanho do arquivo é optimizado; a linguagem do sistema operativo usado para a compilação não é o português; os dados roubados são transferidos através de canais seguros.
Os indícios sobre a autoria destes Trojans remetem-nos para a Rússia. Para remover um plug-in de segurança bancário, estes cibercriminosos usam um anti-rootkit chamado Partizan em vez do clássico Avenger. O Partizan é parte integrante da edição russa do programa UnHackMe. Depois não há absolutamente nenhum português no código. E ao analisarmos o canal seguro de transferência dos dados descobrimos algumas informações de registo interessantes que nos remetem precisamente para a Rússia.
Nota de Redacção : O texto apresentado é da total responsabilidade da Kaspersky, pelo que a WinTech apenas se limita a publicar a informação que vêm directamente da empresa de segurança.
Para além dos números de cliente, os cibercriminosos estão interessados nas medidas de segurança que os bancos utilizam. Muitos bancos sugerem que os seus clientes online instalem um plug-in especial – o G-Buster – nos seus computadores, antes de acederem ao sistema bancário online. O plug-in G-Buster tem como função impedir que qualquer código malicioso corra durante o processo de autorização ou transacção. Este mecanismo é a única medida de segurança utilizada pela Caixa e pelo Banco do Brasil para proteger os seus clientes. Infelizmente, como veremos depois, a presença do plug-in G-Buster num computador não garante a segurança da banca online.
Outros bancos, como o Itaú, dão aos seus clientes outras ferramentas de segurança em complemento do plugin – tokens ou cartões de segurança.
O Bradesco oferece aos seus clientes outro método de protecção que consiste num par de chaves digitais único (certificados) gerado para cada um dos clientes. Uma das chaves é armazenada no computador e a outra num dispositivo de armazenamento amovível. Quando um utilizador tenta ligar-se ao site do banco, o sistema solicita o caminho para o segundo certificado.
Na teoria, estes mecanismos devem ser suficientes para proteger os utilizadores. Como veremos, na prática estes não são muito eficazes. Ou falham em proteger completamente os clientes online, ou os seus custos afastam os clientes. Por exemplo, para um cliente usar um token, primeiro terá de o comprar.
Sites Infectados
Os programas maliciosos disseminam-se com mais frequência através de sites – tanto sites legítimos comprometidos como sites hospedados temporária ou gratuitamente. Os domínios da companhia russa RBC Media – nm.ru e potcha.ru – são frequentemente utilizados gratuitamente para espalhar programas maliciosos.
Em alguns casos, quando os cibercriminosos assumem um projecto particularmente sério e precisam de um recurso de longo prazo. Para este propósito específico, utilizam um hosting “à prova de bala”, com tecnologia que identifica o endereço IP das vítimas potenciais. Quando identifica o endereço IP de um utilizador que caiu numa página infectada, o cibercriminoso pode realizar ataques direccionados e esconder programas maliciosos das companhias anti-vírus. Nem os especialistas em segurança IT nem os que residem fora da América do Latina têm acesso aos binários do código malicioso. Em muitos casos ser-lhes-á oferecido fotos de raparigas brasileiras.
Os clientes da banca online acabam muitas vezes em páginas infectadas, através de mensagens spam que utilizam tácticas de engenharia social clássica. Por vezes estas mensagens imitam emails enviados pelo banco, ou oferecem notícias sobre as celebridades locais ou conteúdo pornográfico. Os links destas mensagens encaminham os utilizadores para sites infectados.
Ataques ao Estilo Brasileiro
Os Trojans bancários brasileiros nunca se disseminam através de ficheiros separados. O processo de infecção envolve sempre a instalação de um espectro alargado de programas maliciosos adicionais num computador da vítima. Os cibercriminosos não se focam apenas na informação bancária – conduzem ataques complexos.
O esquema clássico de infecção começa com um Trojan no servidor que tem como tarefa descarregar e instalar todos os outros programas maliciosos no computador do utilizador – um programa que rouba os dados da conta em sites de redes sociais; um programa que combate as soluções antivírus; um ou dois programas que monitorizam a actividade do utilizadores quando estes se ligam aos sites bancários, interceptam os dados da sessão e enviam a informação recolhida, como passwords, para os cibercriminosos.
Sites de Redes Sociais
Os sites de redes sociais tornaram-se uma fonte importante de quase todo o tipo de dados sobre o utilizador. O nome completo, data de nascimento, morada e outros podem ser utilizados pelos cibercriminosos, por exemplo, para fazer um inquérito “oficial” ao call center de um banco sobre o PIN de um utilizador.
O site de redes sociais mais popular no Brasil é o Orkut. Tem perto de 23 milhões de utilizadores por todo o Mundo, sendo 54 porcento brasileiros. Os utilizadores deste site de redes sociais são na maior parte das vezes atacados por cibercriminosos.
Em regra, dados pessoais e passwords para sites de redes sociais são enviados para a conta de email dos cibercriminosos.
Combate às Soluções Anti-Vírus
O plug-in G-Buster deve pretensamente assegurar que as transacções efectuadas pelos clientes de determinados bancos são seguras. Para impedir que o G-Buster seja removido por um programa malicioso, os seus fabricantes utilizam programas perfeitamente legítimos para tomar medidas defensivas em relação a rootkits.
O mais popular programa anti-rootkit chama-se Avenger. Um Trojan downloader quando infecta um computador, carrega esta ferramenta no sistema com uma lista de ficheiros a remover (instruções). Tudo o que um cibercriminoso precisa para efectivamente remover o plug-in é lançar essa ferramenta e reiniciar o sistema.
O único parâmetro da ferramenta é o endereço dos ficheiros que devem ser removidos. Depois do sistema reiniciar, o plug-in original é removido e em alguns casos outro plug-in com código malicioso é instalado. O novo plug-in permite ao utilizador aceder à sua conta bancária, mas também rouba os dados da conta e reenvia-os para os cibercriminosos. Trata-se da mesma abordagem utilizada para remover programas anti-vírus do sistema de um utilizador.
Roubo de Dados
Depois de uma transacção online ser realizada por um utilizador, o Trojan bancário descarregado no computador captura os dados que possibilitam aceder à conta da vitima. Os detalhes da conta são depois reencaminhados para o endereço de email do cibercriminoso, para o servidor FTP, ou para uma base de dados remota.
A actividade dos cibercriminosos não está limitada ao roubo dos dados para a aceder a sites de redes sociais. Muitas vezes tentam obter o endereço MAC de uma placa de rede, endereço IP, nome de computador e outra informação que pode ser utilizada para ligar a um banco. Fazem isto para cobrirem as suas pistas e implicar a vítima o máximo possível – se o banco inicia uma investigação, os logs farão com que tudo pareça que o cliente levantou o dinheiro ou o transferiu para outra conta.
Os cibercriminosos também estão interessados em qualquer endereço de email utilizado em computadores infectados e nas passwords para lhes aceder. Frequentemente, os utilizadores usam estes endereços e passwords para aceder às suas contas em sites de redes sociais, o que proporciona algumas oportunidades para cometer mais crimes. Adicionalmente, estes endereços podem ser registados na base de dados de um banco como contacto oficial de um cliente, o que os torna confiáveis.
No roubo de passwords de email, os cibercriminosos também utilizam programas legítimos que conseguem restaurar passwords esquecidas. Estes programas podem ler passwords armazenadas nos mais populares clientes de mail como o Microsoft Outlook, o Microsoft Outlook Express e outros.
Dicas da Rússia
O Trojan bancário brasileiro típico tem uma série de características bem definidas - tamanho do arquivo enorme, sequências em português no código, etc. Porém, de vez em quando, alguns exemplos sobressaem.
À primeira vista, estes Trojans bancários não parecem diferir dos exemplos clássicos - os mesmos bancos são atacados, os nomes dos arquivos podem coincidir com os nomes usados por cibercriminosos brasileiros. No entanto, um olhar mais atento revela algumas distinções claras - o tamanho do arquivo é optimizado; a linguagem do sistema operativo usado para a compilação não é o português; os dados roubados são transferidos através de canais seguros.
Os indícios sobre a autoria destes Trojans remetem-nos para a Rússia. Para remover um plug-in de segurança bancário, estes cibercriminosos usam um anti-rootkit chamado Partizan em vez do clássico Avenger. O Partizan é parte integrante da edição russa do programa UnHackMe. Depois não há absolutamente nenhum português no código. E ao analisarmos o canal seguro de transferência dos dados descobrimos algumas informações de registo interessantes que nos remetem precisamente para a Rússia.

{mosgoogle}