Os códigos maliciosos mais comuns da Internet brasileira são os “bankers” – pragas digitais que roubam principalmente as senhas de acesso aos serviços de internet banking.
A palavra “banker” é uma variação dos termos “cracker” e “hacker”: assim como o “phreaker” é especializado no sistema telefónico e o “carder” em cartões de crédito, o “banker” se especializa em bancos. Como funciona o ataque de um “banker” , da infecção do sistema até o roubo das informações bancárias?
Disseminação
A maioria dos bankers pode ser considerada um “cavalo de troia”, ou seja, eles não se espalham sozinhos. Quem dissemina a praga é o próprio criador do vírus e, uma vez instalado no sistema da vítima, o código malicioso tentará apenas roubar as credenciais de acesso e não irá se espalhar para outros sistemas. Existem excepções: alguns desses vírus conseguem se espalhar por Orkut e MSN, por exemplo.
Mesmo que o vírus consiga se espalhar sozinho, ele precisa começar em algum lugar. Tudo geralmente começa em um e-mail.
Depois de abrir o e-mail infectado, internauta será convidado a baixar o vírus.
O vírus acima será chamado de “banker telegrama” por causa da isca utilizada pelos defraudadores. Este ecran de confirmação de download aparece assim que o internauta tenta aceder o link oferecido no e-mail malicioso. Neste caso, o e-mail diz ser um telegrama. É possível verificar que o endereço do site não tem nenhuma relação com “telegrama”, mas o nome do arquivo, sim.
Os criminosos também podem invadir algum site conhecido para infectar os visitantes. Isso já aconteceu com o site das operadoras Vivo e Oi e com o time de futebol São Paulo FC.
Neste final de semana, foi a vez do site da fabricante de bebidas AmBev sofrer um ataque. Quem visitou o site correu o risco de ver a mensagem na foto abaixo e, se clicasse em run, ser infectado. Essa praga será referida mais adiante como “banker applet” devido à técnica de contaminação usada – a janela intitulada “Security Warning” (“Aviso de Segurança”) pede a confirmação da execução de do que se chama de “applet” no jargão técnico, mas que é na verdade um programa quase normal. “Run” significa “executar”. Ao dar um único clique em “run”, o internauta está efectivamente executando um software no PC que, neste caso, é um vírus.
Um especialista da empresa antivírus Kaspersky informou que
o conhecimento dos hackers brasileiros era de “nível técnico”. Os meios de
infecção mostrados acima são realmente muito simples.
Um ataque avançado poderia ter contaminado o computador de
teste usado pela coluna sem a necessidade de autorizar o download, porque o
sistema estava desatcualizado e com diversas brechas de segurança passíveis de
exploração. Mais adiante será possível ver outros deslizes técnicos dos
golpistas.
Infecção
Arquivo tenta disfarçar -se de programa da Adobe, mas não esconde o amadorismo: nem o ícone foi falsificado.
A grande maioria dos vírus brasileiros é muito simples: resumem-se a um
ou dois arquivos no disco rígido, executados automaticamente quando o
sistema é iniciado. Quem puder identificar os arquivos e apagá-los terá
um sistema novamente limpo. Existem algumas pragas bem mais
sofisticadas, mas não são muito comuns.
No caso do Banker Telegrama, o vírus se instala numa pasta chamada “Adobe” em “Programas” com o nome “AcroRd32.scr”,
numa clara tentativa de se passar pelo Adobe Reader (que tem
exactamente o mesmo nome, mas com extensão “.exe” e fica em outra
pasta).
Mas os golpistas esqueceram de trocar o ícone. O ícone usado pelo vírus é
padrão de aplicativos criados na linguagem de programação Delphi, muito
utilizada pelos programadores brasileiros (tanto de softwares legítimos
como vírus).
Banker instalou-se dentro da pasta de sistema, usando nome de arquivo parecido com o do sistema operativol.
Já o Banker do Applet foi mais cuidadoso: o arquivo malicioso copiou-se
para a pasta “system”, dentro da pasta Windows. O nome de arquivo
utilizado foi “wuaucldt.exe” – um ‘d’ a mais do que o arquivo legítimo do Windows ‘wuauclt.exe’, responsável pelas actualizações automáticas. O ícone também foi trocado para ser idêntico ao do arquivo do sistema operativo.
Roubo de dados
Depois de o vírus estar alojado no PC, ele necessita roubar de alguma
forma os dados do internauta . As técnicas são várias. Algumas pragas
mais antigas fechavam o navegador web no acesso ao banco e abriam outro
navegador, falso, que iria roubar os dados.
Hoje,
as técnicas mais comuns são o monitoramento da janela e o
redireccionamento malicioso. Cada praga analisada pela coluna usou uma
delas. No caso do redireccionamento, o que ocorre é uma alteração no
arquivo ‘hosts’ do Windows. Ele permite que o utilizador defina um
endereço que será acesdido quando um site for solicitado. O que a praga
faz é associar endereços falsos aos sites de instituições financeiras.
Quando um endereço de um banco é acesdido, a vítima cai numa página
clonada. Esse acesso é visto e controlado pelos criminosos. Se o
utilizador realizar o login no serviço de internet banking pela página
falsa, os dados da conta e a senha cairão nas mãos dos fraudadores.
Aqui é possível perceber outros descuidos técnicos dos golpistas: o site
clonado apresenta erros, como por exemplo de “página não encontrada”.
Como exemplo a página clone do Banco do Brasil, mas este vírus
redirecciona vários outros bancos, e todas as páginas clonadas têm
problemas semelhantes.
O
site falso também não possui certificado SSL, portanto não apresentou o
“cadeado de segurança” que tanto é divulgado nas campanhas de segurança
das instituições financeiras. Os criminosos poderiam ter incluído um
cadeado falso sem grande dificuldade – o facto que não o fizeram mostra
ou que são incompetentes ou que os utilizadores que caem nesses golpes
não tomam as mínimas precauções contra fraudes on-line.
Por outro lado, o vírus bloqueia – também com o arquivo hosts – sites técnicos e úteis, como o “virustotal.com”, usado para realizar exames antivírus, e o Linha Defensiva.
O banker do telegrama, por sua vez, silenciosamente monitora o acesso ao
internet banking, capturando as informações e as enviando aos seus
criadores. Em alguns casos, ele pode alterar as páginas dos bancos para
solicitar informações que vão além do que normalmente é necessário para o
acesso. Esse tipo de praga é mais complexo: o vírus tem 3,2 megabytes, contra apenas pouco mais de 400 KB do banker do Applet. Apesar do tamanho reduzido, o número de alvos é maior.
A simplicidade dos roubos por meio de redirecionamento é atraente para
os golpistas, que tem utilizado a técnica com uma frequência cada vez
maior. Alguns especialistas em segurança referem-se a esse tipo de
ataque como “banhost”. Os termos ‘Qhost’ e ‘pharming’ também são usados.
Outros métodos
Os criminosos têm à sua disposição
outras maneiras de roubar dados financeiros, como por exemplo a criação
de páginas clonadas que apresentam formulários solicitando directamente
as informações do correntista. Este tipo de golpe é muito comum no mundo
todo, mas nem tanto no Brasil, onde muitas pragas digitais são
desenvolvidas apenas para a realização de fraudes bancárias. O porst de
hoje tentou explicar apenas um tipo de golpe – o dos cavalos de troia.
A grande maioria dos vírus brasileiros é muito simples: resumem-se a um ou dois arquivos no disco rígido, executados automaticamente quando o sistema é iniciado. Quem puder identificar os arquivos e apagá-los terá um sistema novamente limpo. Existem algumas pragas bem mais sofisticadas, mas não são muito comuns.
Mas os golpistas esqueceram de trocar o ícone. O ícone usado pelo vírus é padrão de aplicativos criados na linguagem de programação Delphi, muito utilizada pelos programadores brasileiros (tanto de softwares legítimos como vírus).
Já o Banker do Applet foi mais cuidadoso: o arquivo malicioso copiou-se para a pasta “system”, dentro da pasta Windows. O nome de arquivo utilizado foi “wuaucldt.exe” – um ‘d’ a mais do que o arquivo legítimo do Windows ‘wuauclt.exe’, responsável pelas actualizações automáticas. O ícone também foi trocado para ser idêntico ao do arquivo do sistema operativo.
Roubo de dados
Depois de o vírus estar alojado no PC, ele necessita roubar de alguma forma os dados do internauta . As técnicas são várias. Algumas pragas mais antigas fechavam o navegador web no acesso ao banco e abriam outro navegador, falso, que iria roubar os dados.
Hoje,
as técnicas mais comuns são o monitoramento da janela e o
redireccionamento malicioso. Cada praga analisada pela coluna usou uma
delas. No caso do redireccionamento, o que ocorre é uma alteração no
arquivo ‘hosts’ do Windows. Ele permite que o utilizador defina um
endereço que será acesdido quando um site for solicitado. O que a praga
faz é associar endereços falsos aos sites de instituições financeiras.
Quando um endereço de um banco é acesdido, a vítima cai numa página clonada. Esse acesso é visto e controlado pelos criminosos. Se o utilizador realizar o login no serviço de internet banking pela página falsa, os dados da conta e a senha cairão nas mãos dos fraudadores.
Aqui é possível perceber outros descuidos técnicos dos golpistas: o site clonado apresenta erros, como por exemplo de “página não encontrada”. Como exemplo a página clone do Banco do Brasil, mas este vírus redirecciona vários outros bancos, e todas as páginas clonadas têm problemas semelhantes.
O
site falso também não possui certificado SSL, portanto não apresentou o
“cadeado de segurança” que tanto é divulgado nas campanhas de segurança
das instituições financeiras. Os criminosos poderiam ter incluído um
cadeado falso sem grande dificuldade – o facto que não o fizeram mostra
ou que são incompetentes ou que os utilizadores que caem nesses golpes
não tomam as mínimas precauções contra fraudes on-line.
Por outro lado, o vírus bloqueia – também com o arquivo hosts – sites técnicos e úteis, como o “virustotal.com”, usado para realizar exames antivírus, e o Linha Defensiva.
O banker do telegrama, por sua vez, silenciosamente monitora o acesso ao internet banking, capturando as informações e as enviando aos seus criadores. Em alguns casos, ele pode alterar as páginas dos bancos para solicitar informações que vão além do que normalmente é necessário para o acesso. Esse tipo de praga é mais complexo: o vírus tem 3,2 megabytes, contra apenas pouco mais de 400 KB do banker do Applet. Apesar do tamanho reduzido, o número de alvos é maior.
A simplicidade dos roubos por meio de redirecionamento é atraente para os golpistas, que tem utilizado a técnica com uma frequência cada vez maior. Alguns especialistas em segurança referem-se a esse tipo de ataque como “banhost”. Os termos ‘Qhost’ e ‘pharming’ também são usados.
Outros métodos
Quando um endereço de um banco é acesdido, a vítima cai numa página clonada. Esse acesso é visto e controlado pelos criminosos. Se o utilizador realizar o login no serviço de internet banking pela página falsa, os dados da conta e a senha cairão nas mãos dos fraudadores.
Aqui é possível perceber outros descuidos técnicos dos golpistas: o site clonado apresenta erros, como por exemplo de “página não encontrada”. Como exemplo a página clone do Banco do Brasil, mas este vírus redirecciona vários outros bancos, e todas as páginas clonadas têm problemas semelhantes.
O banker do telegrama, por sua vez, silenciosamente monitora o acesso ao internet banking, capturando as informações e as enviando aos seus criadores. Em alguns casos, ele pode alterar as páginas dos bancos para solicitar informações que vão além do que normalmente é necessário para o acesso. Esse tipo de praga é mais complexo: o vírus tem 3,2 megabytes, contra apenas pouco mais de 400 KB do banker do Applet. Apesar do tamanho reduzido, o número de alvos é maior.
A simplicidade dos roubos por meio de redirecionamento é atraente para os golpistas, que tem utilizado a técnica com uma frequência cada vez maior. Alguns especialistas em segurança referem-se a esse tipo de ataque como “banhost”. Os termos ‘Qhost’ e ‘pharming’ também são usados.
Outros métodos
Os criminosos têm à sua disposição
outras maneiras de roubar dados financeiros, como por exemplo a criação
de páginas clonadas que apresentam formulários solicitando directamente
as informações do correntista. Este tipo de golpe é muito comum no mundo
todo, mas nem tanto no Brasil, onde muitas pragas digitais são
desenvolvidas apenas para a realização de fraudes bancárias. O porst de
hoje tentou explicar apenas um tipo de golpe – o dos cavalos de troia.
0 comentários:
Postar um comentário