Banco brasileiro foi alvo de "sequestro relâmpago" por hackers, diz Kaspersky

O nome do banco foi mantido sob confidencialidade, segundo a Kaspersky, para que a investigação em curso não fosse prejudicada. A empresa revelou, em nota, que enviou as informações às autoridades brasileiras assim que o ataque foi detectado.

No entanto, a Kaspersky revelou à Wired que a instituição financeira em questão tem operações nos Estados Unidos e nas Ilhas Cayman, US$ 27 bilhões em ativos e cerca de 5 milhões de clientes. Esse espectro inclui algumas instituições de médio porte, mas exclui os maiores bancos brasileiros, que têm ativos acumulados que superam R$ 1 trilhão.

A empresa alerta ainda que, embora as operações de apenas um banco tenham sido sabotadas na operação, o malware instalado nos dispositivos dos clientes pode roubar dinheiro de uma lista predefinida de bancos em todo o mundo. A maior parte desses bancos está no Brasil, mas há instituições no Reino Unido, Japão, Portugal, Itália, França, China, Argentina, Estados Unidos e Ilhas Cayman que poderiam ser alvo.

Roubo 'cinematográfico'

De acordo com a Kaspersky, para acessar a rede digital do banco, os invasores comprometeram a infraestrutura do provedor de serviços de DNS -- acredita-se que a conta do banco no serviço brasileiro de registros de nomes de domínio, o Registro.br, tenha sido comprometida.

Depois de assumir o controle, diz a Kaspersky, os invasores redirecionaram todas as operações do banco para um provedor em nuvem, para onde os dados dos clientes foram enviados. Mesmo que o banco estivesse ciente do ataque, não podia sequer alertar seus clientes durante a ação criminosa.

A ação principal foi empreendida durante cinco horas em um fim de semana, período em que a maior parte dos funcionários permanece de folga. No entanto, o planejamento foi tão minucioso que, meses antes do ataque, os invasores geraram um certificado digital SSL legítimo em nome do banco. Esse certificado foi utilizado durante o ataque.

No período, os criminosos estiveram no controle das transações de todos os clientes que acessaram o internet banking pelo computador ou celular. Para isso, programaram a instalação de um malware disfarçado de plugin de segurança. Esse malware, uma vez instalado, foi capaz de roubar dados de login, listas de contato dos programas Outlook e Exchange, credenciais de e-mail e FTP.

O trojan também desabilita automaticamente os softwares de segurança instalados nos dispositivos por meio de ferramentas anti-rootkit legítimas.

"No total, foram comprometidos mais de 30 domínios pertencentes ao banco. Dentre eles, serviços de cartões de débito e crédito, terminais de PDV e outras operações financeiras", informa a Kaspersky. A empresa não deixou claro se as transações em aplicativos móveis também foram comprometidas.

Em outras palavras, os clientes foram redirecionados a uma página falsa que tinha um certificado de segurança legítimo, tiveram o software antivírus desabilitado e fizeram transações sem a menor desconfiança de que seus dados estavam sendo roubados. Para efeitos de comparação, foi um crime de precisão cinematográfica.

"Esse ataque explorou uma vulnerabilidade de terceiros – o provedor de serviços de DNS do banco. A maioria dos bancos da América Latina não utiliza servidores próprios", explica Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise da Kaspersky Lab na América Latina. Segundo Bestuzhev, pelo menos metade dos 20 principais bancos do mundo utiliza DNSs gerenciados -- total ou parcialmente -- por terceiros.

"A segurança da rede de terceiros está fora do controle dos agentes do banco, e isso é negligenciado pelos bancos. Porém, como vimos nesse caso, não pelos criminosos virtuais", afirma.

Ataque começou no e-mail

Em entrevista exclusiva ao Administradores.com, Frederico Neves, diretor de serviços e tecnologia do NIC.br, afirmou que a invasão à conta no Registro.br só foi possível após o comprometimento da conta de e-mail associada. "Não sabemos se obtiveram acesso por ataque de força bruta ou se roubaram a senha. Mas o comprometimento da conta no serviço de registro aconteceu por meio da recuperação de senha pelo e-mail do usuário", afirma.

Para Neves, essa vulnerabilidade poderia ter sido evitada caso o setor de tecnologia da instituição tivesse habilitado o segundo fator de autenticação, "que já disponibilizamos há um bom tempo". Além disso, ele recomenda boas práticas, como cadastrar senhas fortes e utilizar serviços de e-mail confiáveis.

De acordo com dados cedidos pelo NIC.br, uma média mensal de 1% da base total de usuários do serviço solicita recuperações de senha.

Sobre a recomendação de uso de servidores próprios por instituições financeiras, Neves lembra que esse não é um fator relacionado a esse ataque em específico. "Ter servidores próprios para gerenciar DNSs ajuda, mas contratar serviços de terceiros é uma prática usual do mercado", explica.

"Cada instituição deve avaliar o que é mais adequado para hospedagem do seu domínio. A recomendação que a gente pode deixar é que nem todos os servidores estejam hospedados na mesma rede, e, de preferência, estejam em sistemas autônomos independentes", conclui.