Hackers dominam banco brasileiro por cinco horas com todo tipo de ataque

Criminosos estão buscando golpes mais rentáveis e deixando de atacar clientes para mirar nos próprios bancos. A teoria é repetida à exaustão por todos os especialistas durante o Security Analyst Summit, congresso sobre segurança que aconteceu entre os dias 3 e 4 de abril, na Ilha de São Martinho (Caribe).

Um caso detalhado por Dmitry Bestuzhev, chefe de análises da Kaspersky Lab para América Latina, e Fábio Assolini, especialista sênior para o Brasil, chama atenção: um ataque bem coordenado a um banco inteiro no país sequestrou os serviços bancários online via PCs e celulares da organização por cinco horas. Sem revelar detalhes como o nome da instituição ou danos causados aos cofres, a dupla estima esse o roubo tenha afetado milhões de clientes em 300 cidades do mundo.

O ataque ocorreu meses depois, em outubro de 2016, durante um fim de semana, momento em que a equipe de segurança trabalha em regime de folgas e corpo reduzido. Segundo a Kaspaersky, para invadir diretamente a rede do banco, foi comprometido acesso ao provedor de serviços de DNS — o Registro.br. Depois de assumir o controle, os hackers  redirecionaram as operações do banco para um famoso provedor: o Google Cloud.

No total, foram comprometidos os 36 domínios usados pelo banco para todos os tipos de serviços como cartões de débito e crédito, terminais de operações e caixas. “Não sabemos exatamente como comprometeram os domínios, mas há várias hipóteses”, explica Bestuzhev. Golpe de phishing em funcionários ou falhas no provedor são duas. Uma observação feita pela dupla é de que o banco não se cercou de usar a autenticação de duas etapas oferecidas pelo Registro.Br o que permitiu alterações em suas conta.

Registro.br alerta para uso de token

Ao TechTudo, a Registro.Br esclareceu mais detalhes e afirmou que a sua infraestrutura não foi comprometida. A empresa que administra mais de 3,9 milhões de domínios “.br” chamou a atenção para os ataques que utilizam técnicas de engenharia social — em que criminosos se passam por um cliente e solicitam a uma empresa intermediária “alterações de domínios” no sistema de registro, seja por meio de phishing ou, ainda, pelo comprometimento de uma conta de e-mail. 

"Reforçamos que o uso da verificação em duas etapas (Token) por todos os usuários do Registro.br continua sendo uma recomendação de extrema importância. Apesar de tratar-se de um recurso opcional", explica em nota. O comunicado completo referente ao incidente de segurança com os domínios do banco está disponível no próprio site do Registro.br (nic.br/noticia/notas).

Quem tentava acessar os serviços bancários online ou no celular, era levado ao site falso. Usando um malware com instalação automática como se fosse um plug-in de segurança, os criminosos conseguiam roubar informações e o pior, bloquear o antivírus — nesta lista incluem-se todos — instalado nos dispositivo com o uso de um programa legítimo. “Todos os antivírus desta lista foram bloqueados”, mostra Assolini. Lista que inclui a Kaspersky. 

Para completar o cenário de caos, no mesmo período, o grupo fez uma campanha de phishing voltada para roubar informações de cartão de crédito de clientes do banco. Um e-mail levava o usuário para o site sequestrado para atualizar seus dados de cartão de crédito incluindo números, validade e código de confirmação — o necessário para realizar compras. Vale notar que o site do banco era o correto, mas sob domínio dos criminosos.

No banco, os hackers também derrubaram a comunicação deixando offline o e-mail corporativo. O processo dificultou o contato entre as equipes para restaurar os acessos.
Neste caso, apenas um banco brasileiro foi afetado, mas o vírus instalado nos dispositivos das vítimas foi criado para roubar dinheiro de uma lista de bancos espalhados por todo o mundo. A maioria está no Brasil, mas outros alvos são em países para os quais brasileiros também faziam transações com grande frequência como Reino Unido, Japão, Portugal, Itália, França, China, Argentina, Estados Unidos e Ilhas Cayman.