Descubra como os cibercriminosos roubam dados bancários

fraudes-bancariasO Brasil disputa a liderança mundial em pragas digitais que roubam senhas bancárias: ficamos em primeiro lugar em um levantamento de 2014 da fabricante de antivírus Kaspersky Lab, à frente da Rússia. A preferência dos criminosos brasileiros por fraudes bancárias (envolvendo transferências, boletos e cartões de crédito) fica clara pela quantidade de pragas criadas dentro do Brasil para atuar nesse tipo de crime. Outras fraudes, como os “vírus de resgate”, são normalmente importadas.

Por esse motivo, os criminosos brasileiros desenvolveram uma série de técnicas diferentes para realizar a fraude e derrotar os novos mecanismos de segurança criados pelas instituições financeiras.

As técnicas podem ser divididas em duas categorias: phishing e malware. No entanto, essas duas categorias têm se misturado.

Phishing

O phishing ocorre quando o criminoso cria um site idêntico ao da instituição financeira e convence a vítima a entrar no site de alguma forma e depois informar seus dados. O phishing funciona muito bem para roubar dados de cartão de crédito, mas tem também outras utilidades.

Tecnologias de segurança como os “tokens” têm reduzido a efetividade do phishing para o roubo de contas bancárias. No caso de cartelas com senha, algumas páginas de phishing chegaram a solicitar o cartão inteiro – e havia quem fosse convencido a digitar tudo, muitas vezes depois de receber um e-mail falso assustador afirmando que era preciso realizar um “recadastramento da conta”.

Para tokens em si e geradores de senha no celular, o usuário só pode ver uma senha de cada vez, então o site de phishing acaba não conseguindo solicitar todos os dados que o criminoso precisa para realizar a fraude.

Malware

Os malwares tradicionais capturavam informações como as teclas digitadas e cliques na tela para capturar a senha. Hoje, eles não fazem mais apenas isso: eles criam janelas falsas com o mesmo visual e cores das páginas dos bancos, bloqueiam o navegador e, às vezes, fazem redirecionamentos.

As pragas mais modernas fornecem ao bandido uma lista detalhada de informações em tempo real de todos os usuários infectados em um software “administrador” (antigamente, essa informação era enviada por e-mail). Nessa lista, o criminoso pode ver se alguma de suas vítimas está acessando um banco e, quando isso acontecer, ele interage com a vítima, enviando comandos para que o malware crie elementos ou altere a página de modo a solicitar as informações necessárias para a fraude.

O criminoso pode acompanhar a tela da vítima em tempo real para que essas interações com o vírus ocorram durante a navegação no site do banco e pareçam bastante naturais.
O golpista também pode travar a tela após a digitação de uma senha de token para que essa senha seja imediatamente usada por ele e não pela vítima.

Alguns malwares ainda têm recursos tradicionais, como a captura de teclas, para pegar dados de cartões de crédito, além da capacidade de alterar certos tipos de boletos em tempo real, quando são exibidos na tela, para que o pagamento desses boletos caia em uma conta controlada pelo bandido.

Por causa da alta complexidade de alguns desses códigos, o cibercrime normalmente é bastante especializado: quem programa os malwares e quem de fato realiza as fraudes são normalmente pessoas diferentes. Os malwares podem ser oferecidos em termos de “aluguel” ou venda do código fonte. E não é preciso ir longe para encontrar ofertas: um código oferecido no YouTube encontrado pela coluna Segurança Digital sai por R$ 30 mil, na compra ou R$ 2 mil pelo aluguel de 10 dias.

Isso não quer dizer que todos os códigos são tão complicados. Muitas das pragas são bastante simples. Em agosto, a Kaspersky Lab identificou uma praga brasileira programada na linguagem PowerShell, que é interpretada pelo próprio Windows. Tudo que o vírus faz é mudar uma configuração na internet para configurar um servidor proxy (intermediário) pelo qual toda a comunicação com a web vai passar. Basta isso para que os criminosos possam monitorar e alterar qualquer site visitado.

Disseminação e campanhas de ataque

Os malwares em geral não são capazes de se espalharem para outros computadores e, por isso, o termo “cavalo de Troia” é mais adequado para essas pragas. Por isso, os golpes exigem “campanhas” por parte dos golpistas.

Tanto os ataques de phishing como os cavalos de Troia são disseminados principalmente por e-mail. São mensagens falsas de vários tipos, que usam não só as marcas e nomes das instituições financeiras, mas também notícias chocantes, supostas intimações e pendências no CPF, inclusive dívidas, avisos de compras, boletos e até notas fiscais falsas.

Caso queira conhecer e ver imagens desses golpes, veja o Catálogo de Fraudes, da Rede Nacional de Ensino e (RNP). Os exemplos são muitos (o catálogo da RNP tem mais de 10 mil fraudes cadastradas), então não adianta querer conhecer os golpes já realizados para identificar as fraudes no futuro. É preciso entender a essência: são mensagens atrativas que induzem você a clicar em um link.

Quando alguém visita os links desses e-mails, a vítima vai para a página falsa do banco ou recebe o malware. Caso o navegador não esteja atualizado, o malware pode até ser instalado automaticamente, não só nessas páginas, mas em qualquer site da web que vier a ser atacado por hackers.

Em alguns casos, os criminosos também podem atacar roteadores para redirecionar páginas populares (como redes sociais) para sites controlados por bandidos. Nesse caso, além de roubar a senha, a página falsa pode oferecer downloads de pragas digitais.

Como se proteger?

Primeiro detalhe: usar o banco pelo computador é seguro, Basta ter algum cuidado.

A principal dica é realizar o maior número possível de operações no celular. Todos os celulares são mais resistentes a malwares. Apenas fique atento na hora de baixar o aplicativo do seu banco: pegue o aplicativo certo (o que não é nada difícil) e boa parte da sua segurança está garantida. Outra dica é não seguir nenhum link recebido por SMS no celular, já que os criminosos enviam phishing também por SMS.

Tenha também cuidado ao seguir links em e-mails, configure uma senha forte no roteador de internet fornecido pelo provedor para evitar ataques (essa parte é difícil e talvez você precise de ajuda, porque cada equipamento é diferente) e mantenha os programas atualizados (o Windows com o Windows Update e outros programas com seus respectivos recursos de atualização automática). Com isso, você reduz sua exposição e evita os ataques.

No caso de boletos, o celular também é uma ferramenta bastante útil. Abra um boleto no celular e no computador e confira se os dados são idênticos antes de fazer o pagamento. Caso seu computador esteja contaminado com um vírus, você perceberá que os dados são radicalmente diferentes, porque o boleto alterado muitas vezes muda até os primeiros dígitos (que identificam o banco emissor do documento).

Para evitar phishing, lembre-se de sempre verificar o “cadeado” no navegador ao digitar sua senha do banco ou mesmo cartão de crédito. Mas lembre-se que, além do cadeado, você precisa conferir o endereço.

Se você não tem condições de conferir o endereço (por exemplo, você acessou um site que não conhece), isso não vai adiantar. Por exemplo: se um site chamado nomedobanco-promocoes.com.br tiver um cadeado, isso não quer dizer que o site é mesmo do banco. Você precisa saber que aquele site realmente pertence à instituição – apenas ter o nome no endereço e um cadeado não quer dizer que ele seja legítimo.

Alguns bancos brasileiros usam endereços terminados em “.b.br”, que são exclusivos dos bancos. Isso pode ajudar você a saber que está mesmo em um site verdadeiro. No entanto, se o seu computador foi contaminado com um malware, todo o sistema pode ser controlado pelo criminoso e não há como ter garantia de nada. É por isso que a prevenção é sua melhor arma.

Agradecemos ao Davi, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: G1 (o termo “vírus” no texto original foi substituído por “malware” por ser a nomenclatura mais adequada no entendimento do seu micro seguro.

Como os crackers brasileiros realizam fraudes bancárias

cracker

O Brasil é um dos maiores produtores de pragas digitais voltadas à realização de fraudes bancárias. O analista de vírus Dmitry Bestuzhev, da fabricante de antivírus russa Kaspersky Lab, descreveu o Brasil como “um país rico em cavalos de Troia bancários” (veja o texto, em inglês). A situação brasileira é bem única, porque os códigos usados nas fraudes são desenvolvidos no Brasil, enquanto em outros países os golpes fazem uso de códigos como o Zeus, que conseguem atuar de maneira mais genérica. Traduzindo: o Brasil tem softwares bastante personalizados para realizar o roubo de contas bancárias.

No início, as pragas funcionavam principalmente por meio da captura das teclas digitadas. Até hoje, criminosos se referem aos códigos como “KLs” em referência ao termo “keylogger”, que significa um programa que captura as teclas digitadas. Na prática, hoje em dia o roubo de dados não envolve necessariamente o que é digitado, mas os vírus ainda têm componentes desse tipo para roubar outras informações, como números de cartões de crédito e senhas de serviços como Facebook.

Teclado digital
A primeira defesa dos bancos contra os crackers foi o uso de teclados digitais. Obrigando internautas a clicarem nas senhas em vez de digitarem, nenhuma senha era mais capturada.

Surgiram então os códigos que capturaram a tela ao redor do mouse a cada clique. Ou seja, o cracker teria acesso a cada botão que foi clicado.

Em resposta, bancos começaram a mudar os botões de posição após cada clique, ou reduzir rapidamente o contraste do botão no momento do clique, de modo que ele estivesse “apagado” no momento da captura da tela.

Os crackers combateram essas táticas gravando vídeos de todas as ações do internauta. Esse método, evidentemente, não era nem um pouco prático.

Monitoramento de janela
Clientes de alguns bancos podem já ter percebido que o título da janela no navegador fica “esquisito” quando a conta é acessada – por exemplo, em vez de estar escrito “Banco” pode estar escrito “B.-an__co”. O motivo é que durante muito tempo as pragas digitais monitoravam o título da janela para saber quando estavam em um banco e iniciar as funções de roubo. Alterando o título da janela, o banco impedia que o vírus acionasse a captura de informações.

Navegador falso
Em vez de tentar capturar as teclas e cliques, os crackers entenderam que era mais fácil fazer com que o acesso inteiro acontecer por meio de um navegador falso. Isso daria ao código o controle total do acesso e a capacidade de capturar qualquer informação transmitida.

As primeiras tentativas não eram nada sofisticadas. Em alguns casos, era visível o navegador se fechando e abrindo novamente – com uma janela significativamente diferente – no exato momento do acesso ao banco. Em outros casos, o programa era oferecido diretamente como um “navegador especial” para o banco. Um praga emoldurava a janela com um iPad.

A técnica foi refinada – o navegador falso foi deixado de lado. Agora, os crackers injetam códigos diretamente dentro dos navegadores reais.

Redirecionamento
O redirecionamento do endereço do banco é uma técnica bastante efetiva e simples. Em muitos casos, basta realizar uma pequena alteração na configuração dos navegadores ou do arquivo “Hosts” do Windows. Com algumas poucas linhas nos lugares certos, os crackers conseguem obter o controle do acesso ao banco realizado pelo internauta.

As pragas mais sofisticadas desse tipo também instalam um certificado falso no computador quando são instaladas. Isso permite que o site clonado exiba um cadeado de segurança (HTTPS) sem nenhum aviso de erro.

Ação imediata
Algumas pragas avisam um sistema do criminoso quando um código de token – com senhas únicas para autenticar uma transação – foi digitado. O golpista precisa agir rapidamente para usar a senha antes que ela deixe de valer.

Controlando o navegador
Para burlar recursos de segurança como o cadastro de computadores e a exigência de uso de um token de segurança com senhas únicas, as pragas digitais atuam diretamente no navegador da vítima. No acesso ao banco, o vírus modifica o destinatário de transferências, mascara extratos para que o roubo não seja percebido e se aproveita de códigos de segurança digitados para realizar uma ação diferente daquela que o correntista pretendia realizar.

Ou seja, o vírus atua no próprio navegador e no computador da vítima para realizar os pagamentos e transferências fraudulentas. A senha nem precisa ser “roubada”.

Alteração de boletos
Boletos impressos na internet podem ser manipulados por vírus criados para esse fim. A técnica foi divulgada na metade de abril. Ela tem o potencial de causar prejuízos também para o comércio eletrônico, que vai deixar de receber pagamentos.

Lavando o dinheiro
Sacar o dinheiro das contas roubadas pode ser complicado. Os criminosos precisam criar uma conta receptora do dinheiro — pois eles não conseguem sacar sem o cartão, que não pode ser clonado apenas com as informações roubadas pela internet. Isso significa que um banco pode facilmente notar uma grande quantidade de dinheiro sendo desviada para uma mesma conta.

Mesmo assim, em alguns casos, o saque é feito por laranjas que não participam do roubo em si, apenas fazem o serviço arriscado em troca de boa parte da quantia roubada.

Outra maneira de desviar o dinheiro é realizando pagamentos, como compras e impostos. Nesse caso é mais difícil de determinar que o pagamento foi indevido, e a compra normalmente foi feita. Para conseguir volume e lavar o dinheiro, pode acontecer de esses pagamentos serem intermediados: alguém paga, por exemplo, 30% do valor da conta para um cracker, que então faz o pagamento integral da dívida. Dessa forma, o criminoso usou o dinheiro roubado e obteve dinheiro limpo.

Esses pagamentos podem ser tanto compras de produtos, consumo e até impostos.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: G1 – Segurança Digital